Kötü amaçlı Google reklamları iyi bilinen bir tehdittir; ancak kötü amaçlı reklamlara Facebook, LinkedIn ve YouTube gibi diğer popüler çevrimiçi platformlarda da rastlanabilir.
Örneğin, Facebook kullanıcılarını SYS01 bilgi hırsızı ile enfekte etmeyi amaçlayan ve saldırganların sonsuza dek devam edebilmesi için ihtiyaç duydukları her şeyi ele geçiren kalıcı bir kampanya.
SYS01 kötü amaçlı yazılımı
“Çoğunda [the] Araştırmacılar, “reklamlar, kurbanın iki barındırma sitesinden birine, Google Sites veya True Hosting’e yönlendirileceğini” açıkladı. Daha sonra, kötü amaçlı bir ZIP dosyasına yol açan dinamik olarak oluşturulmuş başka bir URL’ye yönlendiriliyorlar.
Kötü amaçlı reklamcılık operasyonuna genel bakış (Kaynak: Trustwave)
Dosya otomatik olarak indirilir, ancak kurban tarafından çalıştırılması gerekir. Kötü amaçlı yazılım, kötü amaçlı kodu yüklemek ve yürütmek için DLL yan yüklemeyi, güvenlik yazılımı tarafından algılanmasını önlemek için çeşitli taktikleri kullanır, çalışmasına izin veren dosyaları ve dizinleri gizler ve kalıcılığı sağlamak için zamanlanmış görevler kullanır.
Kötü amaçlı yazılım, dünya genelinde kullanılan çok çeşitli tarayıcılarda (Chrome, Firefox, Opera, Brave, Cốc Cốc, Yandex Browser, Orbitum, CentBrowser ve diğerleri) saklanan çerezleri, giriş verilerini ve tercihleri çalabilmektedir.
SYS01 zararlı yazılımı ayrıca, tehlikeye atılan makineden erişilen çeşitli Facebook hesap türlerinden kişisel bilgiler, ödeme yöntemleri, takipçi sayıları vb. bilgileri de çıkarabiliyor.
Devam eden bir kötü amaçlı reklam kampanyası
Truswave araştırmacıları, “SYS01 kötü amaçlı yazılım kampanyası en erken Eylül 2023’te gözlemlendi ve bugün hala aktif” dedi. Uzun ömürlü olması, kullanılan taktiklerin ve reklamların sürekli evrim geçirmesinden kaynaklanmaktadır.
Şu anda kötü amaçlı reklamlar çoğunlukla Windows temalarını, Windows Görev Çubuğu temalarını, kırılmış oyunları, metinden videoya genAI modelini (Sora AI), “Tek Tıklamayla Windows, Office ve Photoshop için Orijinal Lisansların Kilidini Açmanın” (iddiaya göre) hızlı bir yolunu ve 3 boyutlu görüntüler oluşturmak için yazılımları tanıtıyor.
Ama genelde, popüler oyunların, multimedya uygulamalarının (örneğin Adobe Photoshop) ve çeşitli iş uygulamalarının crack’li versiyonları cazip geliyor.
Kötü amaçlı Facebook reklamları ve LinkedIn gönderilerine örnekler (Kaynak: Trustwave)
Reklamlar, erişimlerini genişletmek amacıyla yeni oluşturulan ve ele geçirilen (ve adı değiştirilen) Facebook işletme sayfaları tarafından yayınlanıyor.
Sosyal medya hesapları için ele geçirilen oturum açma bilgileri, hesapları ele geçirmek ve kötü amaçlı yazılımı daha fazla yaymak için kullanılır. Diğer çalınan kimlik bilgileri muhtemelen karanlık web’de satışa sunulur ve çeşitli tehdit aktörlerinin ilk erişimi elde etmesine ve kurbanlarının ağında ve uç noktalarında bir dayanak noktası oluşturmasına yardımcı olur.
Araştırmacılar, “Bu tür tehditlerin sosyal medya ortamında çok yaygın olduğunu ve asla ortadan kalkmayabileceğini belirtmek önemlidir” diyerek, kuruluşlara güvenlik kontrolleri, ihlal tespiti ve etkili yanıt önlemleri uygulamaları tavsiyesinde bulundu.
“Güvenlik bilinci her zaman bir güvenlik programının parçası olmalı ancak bültenlerin, haber bültenlerinin veya diğer risk bildirimlerinin sıklığını artırmak kültürün bir parçası olmalı ve riskin bir kısmını azaltabilir” diye eklediler.
“İnsanların bir saldırıda her zaman ilk hedef olacağını bilerek, çok faktörlü kimlik doğrulamayı kullanmak çok önemlidir ve bu tehditlerin etkisini sınırlamada güçlü tespit mekanizmaları kritik öneme sahiptir. Derinlemesine savunma stratejileri yeni kavramlar değildir ancak uygulama ve bütçe kısıtlamaları karmaşıklıklar yaratır. İşletmeye yönelik taviz ve itibar kaybının riski ile maliyetini tartmak dikkatli bir değerlendirme gerektirir.”