Tehdit aktörleri, Google’dan reklam alanı satın alarak ve Cisco’nun kimliğine bürünerek Webex’i indirmekle ilgilenen kurumsal kullanıcıları hedefliyor.
Açıkça söylemek gerekirse, dijital iletişim devinin Web konferansı yazılımı olan Webex’in kendisi tehlikeye atılmamıştır. Bu çaba, oldukça basit bir kötü amaçlı reklam kampanyasıdır: Bir kullanıcı, yazılım için Google’da arama yaptığında, kötü amaçlı yazılımları, özellikle de BatLoader’ın ilk aşama kötü amaçlı yazılım tehdidini dağıtmak için kullanılan, görünüşte gerçek bir reklamla karşılaşır.
Adından da anlaşılacağı gibi ele geçirilen bir bilgisayara ek yükler indiren BatLoader, tespitten kaçma konusunda yeteneklidir ve “ilk güvenliği gerçekleştirmek için kullanıldığı enfeksiyon zincirinin bir parçasıdır.”
Kötü amaçlı, sahte reklam, Google Ads’ün görünen URL’lere ilişkin politikasına uyuyor ve bir filtreleme ve yönlendirme mekanizması olarak kötüye kullanılan, izleme şablonu olarak bilinen bir boşluktan yararlanıyor. Tehdit aktörleri, bir kuruluşun geleneksel antivirüs önlemleriyle tespit edilemeyen kötü amaçlı yazılım kullanan kurumsal kullanıcılarla ilgileniyor gibi görünüyor.
Kampanyayı ortaya çıkaran Malwarebytes Labs araştırmacıları, “İnsan analistlerin kötü amaçlı yazılım tarafından gerçekleştirilen şüpheli faaliyetleri incelediği bir MDR hizmetiyle birlikte uç nokta algılama ve yanıt (EDR) gibi daha eksiksiz bir çözüm bir zorunluluktur” dedi.
Google, sahte reklam olayıyla ilgili olarak uyarıldı.