Yakın zamanda yaşanan bir siber saldırı dalgasında BT profesyonelleri, Zscaler ThreatLabz araştırmacıları Roy Tay ve Sudeep Singh tarafından ortaya çıkarılan kurnazca bir kötü amaçlı reklamcılık kampanyasının hedefi haline geldi.
Şirketin araştırmasına göre bu kampanya, daha önce görülmemiş “MadMxShell” adlı bir arka kapıyı dağıtmak için aldatıcı çevrimiçi reklamlardan yararlanıyor. Her şey Mart 2024’te, Zscaler ThreatLabz’ın MadMxShell’i dağıtmak için benzer etki alanları kullanan, DLL yan yüklemesi, DNS protokolünü kötüye kullanma ve bellek adli bilişim güvenlik çözümlerinden yararlanan bir tehdit aktörünü keşfetmesiyle başladı.
Araştırmacılar, saldırganların hesaplı bir yaklaşım sergilediğini düşünüyor. Kasım 2023 ile Mart 2024 arasında saldırganlar, Gelişmiş IP Tarayıcı, Angry IP Tarayıcı, Paessler’den PRTG IP Tarayıcı, Manage Engine ve VLAN’larla ilgili ağ yönetimi görevleri dahil olmak üzere popüler IP tarayıcı ve ağ yönetim yazılımına çok benzeyen birden fazla alan adını kaydetti.
Bu taktiğe yazım hatası denir. Alan adlarının en çok yapılan aramalarda görünme olasılığı yüksektir ve BT profesyonelleri yanlışlıkla kötü amaçlı reklama tıklayabilir.
Reklam tıklandığında kullanıcıyı orijinal yazılım satıcısının web sitesine benzeyecek şekilde tasarlanmış bir açılış sayfasına yönlendirir. Burada onlara, bilmedikleri halde MadMxShell arka kapısını barındıran indirilebilir bir dosya sunulur.
Kaçınma Teknikleriyle Yeni Arka Kapı
Zscaler’in blog gönderisine göre MadMxShell arka kapısı, geleneksel güvenlik çözümleri tarafından tespit edilmekten kaçınmak için tasarlanmış çok aşamalı bir dağıtım süreci kullanıyor. İlk veri, meşru bir programın kötü amaçlı bir kitaplık dosyası yüklemesi için kandırıldığı bir teknik olan DLL yan yüklemesinden yararlanır. Bu kötü amaçlı kitaplık daha sonra saldırganın komuta ve kontrol (C2) sunucusuyla iletişim kuran ek bileşenleri indirir.
MadMxShell’in en endişe verici yönlerinden biri, C2 iletişimi için DNS MX kayıt sorgularını kullanmasıdır. Bu teknik, saldırganın altyapısıyla iletişimi maskelemek için standart Etki Alanı Adı Sistemi (DNS) protokolünü alışılmadık bir şekilde kullanır. Buna ek olarak MadMxShell, bellek analizini önlemek için anti-damping teknikleri kullanıyor ve bu da güvenlik araştırmacılarının sistemin iç işleyişini anlamasını zorlaştırıyor.
Sistemlerinizi Korumak:
Riskleri azaltmak için istenmeyen reklamlara karşı dikkatli olun, açılır pencere engelleyicileri etkinleştirin, sağlam bir güvenlik yazılımı kullanın ve çalışanları kötü amaçlı reklamcılığın tehlikeleri ve sosyal mühendislik taktikleri konusunda eğitin.
Sectigo Ürünlerinden Sorumlu Kıdemli Başkan Yardımcısı Jason Soroko, yeni kampanya hakkında yorum yaptı. “Savunmacılar genellikle e-posta alışverişi DNS trafiğinde kötü amaçlı kontrol iletişimlerini (C2) aramazlar, dolayısıyla bu durumda saldırganlar saklanacak bir yer bulmuşlardır. Saldırganlar ayrıca uç nokta güvenlik çözümleri tarafından analiz için belleğin ‘boşaltılmasını’ engelleyen bir teknik kullanıyor,” diye açıkladı Jason.
“Kötü amaçlı reklamcılık yeni değil, ancak burada kullanılan kötü amaçlı yazılım teknikleri, saldırganların teknoloji hattının derin olduğunu ve ağ ve işletim sistemlerinin karanlık köşelerinde çok fazla düşüncenin saklandığını gösteriyor.“ o istedi.
İLGİLİ KONULAR
- Kışkırtıcı Facebook Reklamları NodeStealer Kötü Amaçlı Yazılım Sağlıyor
- Yeni VPN Kötü Amaçlı Reklam Saldırısı, OpcJacker Crypto Stealer’ı Düşürüyor
- Kötü amaçlı reklam saldırısı, kötü amaçlı Chrome uzantılarını ve arka kapıları düşürür
- Milyonlarca PornHub kullanıcısı bir yıl süren kötü amaçlı reklam saldırısından etkilendi
- Kötü Amaçlı Reklamlarda ve Sahte Windows Güncellemelerinde Büyük Kafa Fidye Yazılımı Bulundu