Saldırganlar yine istismarda bulunuyor Google Reklamları insanları bilgi çalan kötü amaçlı yazılımlarla hedeflemek için bu kez kurumsal kullanıcıları Slack ve Notion gibi popüler ortak çalışmaya dayalı grup yazılımları için sahte reklamlarla cezbetmek üzere bir reklam izleme özelliği kullanıyor.
AhnLab Güvenlik İstihbarat Merkezi'nden (ASEC) araştırmacılar şunu keşfetti: kötü niyetli bir kampanya Bu hafta yayınlanan bir blog yazısında, Rhadamanthys hırsızı da dahil olmak üzere kötü amaçlı yazılım dağıtan URL'leri gömmek için istatistiksel bir özellik kullanan bu yazılımın ortaya çıktığı ortaya çıktı. Bu özellik, reklamverenlerin, reklam trafiğini hesaplamak amacıyla ziyaretçilerinin erişimle ilgili verilerini toplamak ve kullanmak için reklamlara harici analitik web sitesi adresleri eklemesine olanak tanır.
Ancak saldırganlar harici bir istatistik sitesi için URL eklemek yerine bu özelliği kötüye kullanarak sitelere girmeyi tercih ediyor. kötü amaçlı kod yaymaaraştırmacılar buldu.
Kampanyayla ilgili reklamlar zaten silinmiş. Ancak ASEC'e göre, hala aktif olduklarında “başlığa tıklamak, şüphelenmeyen kullanıcıları kötü amaçlı bir dosyayı indirmeleri için kandıracak adrese götürüyordu.”
Kampanyada Rhadamanthys, kurumsal ekipler tarafından işyerinde işbirliği için sıklıkla kullanılan popüler grup yazılımının yükleyicisi kılığına giriyor. Kötü amaçlı yazılım yüklenip yürütüldükten sonra, saldırganın sunucusundan kötü amaçlı dosyaları ve yükleri indirir.
Stealer İndirmelerine Yönlendirmeler
ASEC gönderisi, saldırganların kampanyayı, kullanıcıları saldırgan tarafından oluşturulan ve kontrol edilen bir URL'ye yönlendiren, son kullanıcıya görünmeyen izleme URL'lerini içeren banner reklamları gösterecek şekilde nasıl hazırladıklarını açıklıyor. Bu nihai açılış sayfası, Slack veya Notion gibi bir grup yazılımı aracının gerçek web sitesine benzer ve ziyaretçileri, bir yükleyici biçiminde dağıtılan kötü amaçlı yazılımı indirip çalıştırmaya yönlendirir.
Kampanya tarafından kullanılan tipik yükleyiciler, Inno Kurulum yükleyicisi veya Nullsoft Komut Dosyalı Kurulum Sistemi (NSIS) yükleyicisidir; Saldırganlar özellikle şu yürütülebilir dosyaları kullandı: Notion_software_x64_.exe Slack_software_x64_.exe; Trello_software_x64_.exe; ve GoodNotes_software_x64_32.exe.
ASEC, saldırganların bu adresleri almak için kullandığı URL'leri listeleyen ve daha sonra bu adreslere teslim edilen URL'leri listeleyen blog yazısında, “Kötü amaçlı yazılım, çalıştırıldıktan sonra kötü amaçlı yük adreslerine erişmek için textbin veya Tinyurl gibi metinleri kaydedebilen web sitelerini kullanır.” dedi. kullanıcılar.
Kampanyanın nihai yükü, Rhadamanthys hırsızıASEC'e göre meşru Windows dosyalarına “%system32%” yolu aracılığıyla enjekte ediliyor. Araştırmacılar, bunun, hırsızın kullanıcıların özel verilerini bilgileri olmadan sızdırmasına olanak tanıdığını belirtti.
Rhadamanthys, saldırganlar arasında popülerdir ve hizmet olarak kötü amaçlı yazılım modeli kapsamında Dark Web'de satın alınabilir. Bilgisayar adı, kullanıcı adı, işletim sistemi sürümü ve diğer makine ayrıntıları gibi sistem bilgilerini toplamak için tipik bir hırsız gibi davranır. Ayrıca tarayıcı geçmişini, yer işaretlerini, çerezleri, otomatik doldurmaları, oturum açma kimlik bilgilerini ve diğer verileri aramak ve çalmak için Brave, Edge, Chrome, Firefox, Opera Yazılımı dahil olmak üzere yüklü tarayıcıların dizinlerini de sorgular.
Reklamla Yayınlanan URL'lere Dikkat Edin
Kampanya kesinlikle ilk defa değil Saldırganların Rhadamanthys ve diğer kötü amaçlı yazılımları yaymak için Google Ads'ü ve ilişkili özelliklerini kötüye kullandığını ve bunun muhtemelen son olmayacağını söyledi. Aslında Ocak 2023'te tanımlanan bir kampanya web sitesi yönlendirmelerini de kullandı Google Ads'den ve Rhadamanthys'i sunmak için Zoom ve AnyDesk gibi popüler uzaktan çalışma yazılımına yönelik sahte indirme yemlerinden.
Saldırganlar, hizmetin “dinamik arama ağı reklamları” özelliğini bile kötüye kullandılar. etkiyi güçlendirmek Bir kötü amaçlı yazılım seli yaymak için hedefli reklamlar oluşturarak kötü amaçlı kampanyaların önlenmesi.
ASEC, aslında “reklam trafiğini hesaplamak için izleme sağlayan tüm arama motorlarının kötü amaçlı yazılım dağıtmak için kullanılabileceğinden” kullanıcıların Google tarafından sunulan reklamlardan gelen bağlantılara erişirken dikkatli olmaları gerektiği konusunda uyardı. Gönderiye göre, özellikle kötü niyetli bir kampanyanın tuzağına düşmemek için “web sitesine eriştiklerinde reklam banner'ında gösterilen URL'ye değil, web sitesine eriştiklerinde görülen URL'ye dikkat etmeleri” gerekiyor.
ASEC ayrıca yöneticilerin herhangi bir kurumsal kullanıcının bundan etkilenip etkilenmediğini belirlemesine yardımcı olmak için kampanyanın çeşitli aşamalarıyla ilişkili URL'lerin kapsamlı bir listesini de yayınladı.