Lumma bilgi hırsızı kötü amaçlı yazılımını, sahte CAPTCHA sayfalarına yönlendiren müdahaleci “reklamlar” yoluyla dağıtan büyük ölçekli bir kötü amaçlı reklam kampanyası, araştırmacılar tarafından Monetag reklam ağını kötüye kullanan bir tehdit aktörüne bağlandı.
Kullanıcıların bakış açısından kampanya
İnternet kullanıcıları genellikle video akışı, anime, spor, akademik belgeler vb. gibi şeyleri aradıktan sonra Monetag reklam bölgesi komut dosyalarını kullanarak SEO için optimize edilmiş binlerce siteden birine ulaşırlar.
Komut dosyaları, kullanıcıları belirli bir sırayla bir dizi düğmeye basarak insan olduklarını doğrulamalarını isteyen sahte bir CAPTCHA sayfasına yönlendiren yeni bir sekme açar.
Bu eylemler, kurbanın bir PowerShell betiğini Çalıştır iletişim kutusuna yapıştırmasını ve bunu bilmeden Tamam düğmesine basarak çalıştırmasını sağlar.
“Kötü amaçlı sayfalar, tespit edilmekten kaçınmak için sık sık yeni değişkenlerle güncelleniyor. Guardio Labs araştırmacıları, bunların farklı PowerShell tek satırlık satırları, PowerShell betiğini panoya kopyalamak için farklı betik gizleme yöntemleri ve görsel tasarımdaki değişiklikleri kullandığını keşfetti.
PowerShell komut dosyaları, tıpkı daha önce işaretlenen kampanyalarda olduğu gibi (bu, Guardio tarafından belgelenen bunun aşamalarından sadece biri olabilir veya olmayabilir) güçlü Lumma bilgi hırsızını indirir ve çalıştırır.
Araştırmacıların bakış açısından kampanya
“Infoblox ile işbirliği yaparak ve reklam olaylarını tetiklemekten sorumlu JavaScript parçacıklarının gizliliğini titizlikle kaldırarak, sorumlu reklam ağı hizmetinin Monetag’ı belirledik. Guardio Labs araştırmacıları, Monetag’ın Kıbrıs merkezli büyük bir reklam ağı şirketi olan PropellerAds’in bir yan kuruluşu olduğunu belirtti.
Reklam ağından, daha önce Infoblox araştırmacıları tarafından “Vane Viper” olarak adlandırılan bir tehdit aktörü, kötü amaçlı yazılımları büyük ölçekte dağıtmak için yararlanıyor.
Tehdit aktörü, kötü amaçlı sayfalarını ve amaçlarını reklam ağının moderatörlerinden gizlemek için karartılmış komut dosyaları, yönlendirme zincirleri ve BeMob gibi reklam izleme hizmetlerini kullanıyor.
Kötü amaçlı reklamcılık saldırı akışı (Kaynak: Guardio Labs)
Araştırmacılar, “Sadece son on gün içinde, analizimiz yaklaşık 3000’den fazla yayıncı sitesinden günde 1 milyona kadar ‘reklam gösterimi’ geldiğini tahmin etti” dedi.
İnternet kullanıcılarını korumak için yoğun çaba gerekiyor
Araştırmacılar, bunun gibi kampanyaları mümkün kılan kusurlu ekosistemi ve para aktarma stratejisini özetlediler:
- Reklam ağları esas olarak siteleri “ele geçiren” reklam komut dosyaları, istilacı pop-up’lar, reklam engelleyicileri aşmak için gizlenmiş komut dosyaları, sosyal medyada veya anlık iletilerde yayınlanabilecek doğrudan bağlantılar vb. kullanmak ve “reklamları” denetleyemediklerini iddia etmek gizleme
- Yayıncılar Dağıtıma hazır web sitesi şablonlarına dayanan veya özel hizmetlerin (“Hizmet Olarak Yayın”) yardımıyla oluşturulmuş, tıklama tuzağı içeriğine sahip, SEO için optimize edilmiş (klonlanmış) sitelerin sayısı, web sitelerinden yalnızca üçüncü yolla para kazandıklarını söylüyor. parti hizmetleri
- Barındırma hizmetleri Altyapılarında barındırılan kötü amaçlı sayfaları hızlı bir şekilde tespit edip kaldıramıyorlar
- Reklam izleme hizmetleri kendilerinin yalnızca bir analiz aracı olduğunu ve kötü amaçlı reklamlardan sorumlu olamayacaklarını söylüyor.
“Bu parçalanmış sahiplik zinciri, makul bir inkar edilebilirlik fırtınası yaratıyor ve hesap verebilirliğin belirlenmesini ve uygulanmasını son derece zorlaştırıyor. Guardio Labs, “Bu, kötü niyetli kampanyaların gelişmesine izin verirken suçu başka yere atmak için tasarlanmış bir sistem” diyor.
“Reklam ağları, sürekli içerik denetimine, sahte kayıtları önlemek için güçlü hesap doğrulamaya ve siber güvenlik topluluğu için daha erişilebilir raporlama mekanizmalarına öncelik vermelidir. Bu tür suiistimallerin ele alınması için dış raporların beklenmesi yeterli değildir. Bu sistemler sadece müşterilerini değil tüm internet kullanıcılarını korumak için sürekli gözetim gerektirir.”