Tehdit aktörlerinin, kurbanları web sitelerine çekmek ve sistemin tam kontrolünü ele geçirmelerini sağlayacak kötü amaçlı yüklerini indirmelerini sağlamak için çeşitli yöntemler kullandıkları bilinmektedir.
Bununla birlikte, yakın tarihli bir rapor, tehdit aktörlerinin, muhtemelen fidye yazılımı operasyonları için ilk güvenlik açığı için kullanılan bilgi çalıcıları ve diğer kötü amaçlı yazılımları bırakmak için bir kötü amaçlı reklam kampanyası kullandığını gösterdi.
Gelişmiş IP Tarayıcı – Kötü amaçlı reklam kampanyası
Tehdit aktörleri, kötü amaçlı yazılım sayfalarını kurbanlara göstermek için akıllıca Google reklamlarını ve arama motorlarını kullanıyor. Alan meşru görünse de Temmuz 2023’ün sonunda oluşturuldu ve 185.11.61’de Rusya’da barındırıldığı bulundu.[.]65.
Buna ek olarak, tehdit aktörleri, IP kaynağının meşruluğunu kontrol etmeyi ve IP adresinin web sitesini daha önce ziyaret edip etmediğini analiz etmek için IP adresinin önceki günlüklerini kontrol etmeyi içeren ağ savunucuları gibi yöntemler kullandı.
Bu, tehdit aktörlerinin ilgili bir VPN veya proxy olup olmadığını bulmasına olanak tanır. Bu sunucu tarafı kontrolü, yalnızca temiz IP’lerin orijinal içeriği görmesine izin vermek için gerçekleştirilir.
Kötü amaçlı web sitesi, tehdit aktörleri onu kötü amaçlı sürüme geçirmeden önce masum görünür. Web sitesinin derinliklerine inildiğinde, base64 ile kodlanmış, gizlenmiş bir JavaScript kodu bulundu. Bu komut dosyası, web sitesindeki herhangi bir şeyden önce yüklenir.
kod gösterme
Kodun kodu çözüldü, bu da JS kodu tarafından gerçekleştirilen çeşitli işlevleri ortaya çıkardı.
- Ekran ve pencere boyutu gibi tarayıcı özellikleri
- Saat Dilimi ayrıntıları (UTC saati ile yerel saat arasındaki fark)
- Ekran kartı sürücü bilgileri ve
- MP4 dosya biçimi için MIME türü.
Sunucu tarafı IP’nin temiz olduğunu onayladığında, kurbanlara gösterilen ve kötü amaçlı bir dosya indirme seçeneğine sahip olan orijinal web sitesini gösterir.
Bu bilgiler ziyaretçilerden toplandıktan sonra, bir POST isteği aracılığıyla saldırganın sunucusuna gönderilir. Verilerin daha fazla iletilmesi, tehdit aktörünün hangi eylemleri daha ileri götüreceğine karar vermesine izin verecektir.
Diğer Reklamcılık hesaplarıyla çakışma
Bu tür kötü amaçlı yazılım web sitelerini durdurmanın önündeki en büyük engellerden biri, bu tür olayları bulmanın ve bildirmenin zor olmasıdır.
Bu kötü amaçlı web sitesine hizmet veren platformun, hesaba karşı herhangi bir işlem yapmadan önce kötü amaçlı web sitesindeki bilgileri doğrulaması gerekir.
Bunun nedeni, diğer meşru reklamveren hesaplarının etkilenmemesi gerektiğidir. Ancak, bu tür web sitelerini bulmak birkaç saat sürer ve bu süre içinde tehdit aktörleri on binlerce kurbanı cezbedebilir ve onlara kötü amaçlı yazılımı indirmelerini sağlayabilir.
Bu kötü amaçlı yazılım kampanyası hakkında ayrıntılı bilgi sağlayan Malwarebytes tarafından eksiksiz bir rapor yayınlandı.
Potansiyel bir kötü amaçlı yazılım olabileceğinden, güvenlik uzmanları da dahil olmak üzere kullanıcıların bilinmeyen bir web sitesini ziyaret etmeden ve herhangi bir tarayıcıyı indirmeden önce önlem almaları önerilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.