Kullanıcıları hedef alan karmaşık bir Slack kötü amaçlı reklam kampanyasının kötü amaçlı yazılım sunmak için Google arama reklamlarını kullandığı bulundu. Bu gizli saldırı, siber suçluların gelişen taktiklerini ve internet kullanıcıları arasında daha fazla uyanık olma ihtiyacını vurguluyor.
Birkaç gün süren kampanya, Google arama sonuçlarında görünen şüpheli bir Slack reklamını içeriyordu. Başlangıçta zararsız olsa da, reklam sonunda kullanıcıları karmaşık bir yönlendirme zinciri boyunca yönlendirdi ve sonunda şüphesiz kurbanlara kötü amaçlı yazılımlar sundu.
Slack Kötü Amaçlı Reklam Kampanyası Google Reklamlarını Manipüle Ediyor
İlk bakışta, Slack kötü amaçlı reklamcılık reklamları meşru görünüyordu, hatta arama sonuçlarında resmi Slack web sitesini geride bırakıyordu. Ancak, MalwareBytes araştırmacıları tarafından daha yakından incelendiğinde, reklamın reklamvereninin Asya pazarını hedefleyen ürünleri tanıtırken tamamen farklı bir bölgede görüntülenmesi nedeniyle bir şeylerin ters gittiği açıkça görüldü.
Araştırmacılar, geçmişte tehlikeye atılmış reklamveren hesaplarını belirlemek için kullandıkları bir teknik olan bağlamsallaştırılmış tespiti kullanarak reklamın muhtemelen kötü amaçlı olduğunu ortaya çıkarabildiler. Reklam, ekip tarafından ‘pişirme’ olarak etiketlenmişti; kötü amaçlı reklamların tespiti tetiklemekten kaçınmak için başlangıçta bir süre boşta bırakıldığı yaygın bir uygulama.
Reklamın davranışı sonunda değişti ve kullanıcı trafiğini saldırganın kendi seçtiği bir etki alanına gönderen ve nihai URL’ye, slack-windows-download, yönlendiren bir tıklama izleyicisine yönlendirildi.[.]Saldırıdan bir hafta önce oluşturulan com.
Ziyaretçilere başlangıçta bir aldatma sayfası gösterilirken, araştırmacılar ayarları değiştirdikten sonra kötü amaçlı sayfanın ortaya çıkarılabileceğini, resmi Slack sayfasını taklit ederek şüphesiz kurbanlara bir indirme bağlantısı sunduğunu keşfettiler. Bu davranış, farklı kullanıcılara farklı içeriklerin gösterildiği gizleme olarak bilinir.
Reklamın yönlendirme zinciri karmaşıktı, bir tıklama sahtekarlığı tespit aracı, ardından bir tıklama izleyicisi ve son olarak bir gizleme alanı içeriyordu. Bu derin katmanlama, araştırmacıların özel araçlar ve tehdit aktörünün taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında bilgi olmadan reklamı değerlendirmesini zorlaştırdı.
İndirme düğmesine tıklandığında, başka bir etki alanından bir dosya indirme işlemi tetiklendi ve bu da Zoom’u hedef alan paralel bir kampanyaya işaret ediyordu. Dinamik analiz, daha önce çalma yeteneklerine sahip SecTopRAT uzaktan erişim Truva Atı tarafından kullanılan bir sunucuya uzaktan bağlantı olduğunu ortaya çıkardı.
Bu kampanyanın arkasındaki tehdit aktörleri tespit edilmekten kaçınmak için belirlenmiş birkaç yöntem kullandı:
- Reklam ‘pişiriyor’: Kötü amaçlı reklam, yükünü etkinleştirmeden önce meşru Slack sayfalarına yönlendirerek günlerce hareketsiz kaldı.
- Tıklama izleme kötüye kullanımı: Saldırganlar, Google’ın güvenlik önlemlerinden nihai hedefi gizlemek için tıklama izleme hizmetlerini kullandılar.
- Gizleme: Farklı kullanıcılara farklı içerikler sunuldu ve bu durum açılış sayfasının kötü amaçlı olup olmadığının belirlenmesini zorlaştırdı.
- Çok katmanlı yönlendirmeler: Sahtekarlık tespit araçları ve izleme bağlantıları da dahil olmak üzere bir dizi yönlendirme, saldırı zincirini daha da karmaşık hale getirdi.
Kötü Amaçlı Yazılım Dağıtımı ve Etkileri
Kampanyanın son zararlı yazılımı olan SecTopRAT, veri çalma yeteneklerine sahip uzaktan erişim Truva Atı’nı saldırganlar tarafından bir komuta ve kontrol sunucusuna kesin bir bağlantı kurmak için kullanıyor ve hedeflenen kurbanların sistemlerini ve verilerini tehlikeye atma potansiyeline sahip.
Kötü amaçlı reklamcılar meşru platformları istismar etmeye ve karmaşık kaçınma teknikleri kullanmaya devam ettikçe, hem bireyler hem de kuruluşlar bu taktiklere karşı dikkatli olmalı ve bu tür tehditlere karşı korunmak için çok katmanlı güvenlik yaklaşımları kullanmalıdır.