Dijital reklam ekosistemi, reklam teknolojisi şirketlerini kötü amaçlı yazılım dağıtmak ve kötü amaçlı kampanyalar yürütmek için giderek daha fazla kullanan siber suçlular için birincil avlanma alanı haline geldi.
Meşru platformları kötüye kullanmak yerine, tehdit aktörleri şimdi platformların kendileri olarak çalışıyor ve hesap verebilirlikten kaçınmak için Adtech tedarik zincirinin doğal karmaşıklığını ve parçalanmasını sağlayan sofistike bir aldatma ağı oluşturuyor.
Son araştırmalar, güvenlik araştırmacıları tarafından izlenen ve geçen yıl yaklaşık bir trilyon DNS sorgusu üreten müşteri ağlarının yaklaşık yarısında ortaya çıkan bir tehdit aktörü olan Vane Viper’ı içeren büyük bir operasyonu ortaya çıkardı.
Bu operasyon, dünya çapında oyun, alışveriş ve blog sitelerinde yüz binlerce uzlaşmacı web sitesinden ve stratejik olarak yerleştirilmiş reklamlardan yararlanır.
Aktörün altyapısı, kontrol ettikleri daha geniş kötü niyetli ekosistemin sadece bir kısmını temsil eden yaklaşık 60.000 alana kapsamaktadır.
Bu kampanyanın sofistike olması, makul inkar edilebilirlik için tasarlanmış özenle oluşturulmuş kurumsal yapısında yatmaktadır.
Kurumsal dosyalar, amiral gemisi iştiraki PropellerAds, hem reklam ağı hem de trafik komisyoncusu olarak faaliyet gösteren Kıbrıs tabanlı bir şirket olan Vane Viper’ı Trace Vane Viper’a izler.
.webp)
Infoblox araştırmacıları, pervaneadların sadece kör bir gözü platformlarının suçlu kötüye kullanımına çevirmenin ötesine geçtiğini ve doğrudan şirkete atfedilen altyapıdan kaynaklanan birkaç reklam kampanyasına işaret ettiğini gösteren zorlayıcı kanıtlar belirlediler.
Maltizasyon işlemi, kullanıcıları kötü amaçlı yükler vermeden önce birden fazla yönlendirme katmanına yönlendiren karmaşık bir trafik dağıtım sistemi (TDS) kullanır.
Bu yaklaşım, aktörlerin otomatik güvenlik araçlarına meşru içerik sunmasına izin verirken, insan kullanıcılarını kötü niyetli hedeflere yönlendirir.
Kampanyanın erişimi, sahte alışveriş sitelerini, hileli tarayıcı uzantılarını, anket dolandırıcılıklarını ve uzlaşmış trafikten elde edilen karı en üst düzeye çıkarmak için tasarlanmış yetişkin içeriğini kapsayan geleneksel kötü amaçlı yazılım dağıtımının ötesine uzanıyor.
Push Bildirim Kalıcılık Mekanizması
Vane Viper’ın operasyonunun en sinsi yönü, kurban cihazlarına kalıcı erişim sağlamak için tarayıcı itme bildirimlerinin kötüye kullanılmasını içerir.
Kampanya, tarayıcı davranışını manipüle etmek ve tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmek için web uygulamaları ve sunucular arasında ağ isteklerini kesen kötü amaçlı hizmet çalışanları, JavaScript dosyalarını kullanır.
.webp)
Bu hizmet çalışanları, itme bildirimlerini kötüye kullanmak için senaryo zincirleme teknikleri kullanırlar, en çok ilgili unsurları kullanımıdır. eval() Uzak URL’lerden getirilen keyfi içerik yürütme işlevi.
Uzak URL, hizmet çalışanındaki sabit kodlu alanlar tarafından belirlenir ve değişen operasyonel gereksinimlere uyum sağlayabilen dinamik bir komut ve kontrol mekanizması oluşturur.
Kullanıcılar push bildirimlerini kabul ettikten sonra, cihazları sürekli bir kötü niyetli reklam akışı sağlayan kalıcı bir kötüverizasyon ağının bir parçası haline gelir.
Operasyon, alan yönetimi stratejisi aracılığıyla, her ay binlerce yeni kayıtlı alanda bisiklet sürerken, önemli push bildirim alanlarını yıllarca sürdürürken dikkate değer bir esneklik göstermektedir.
Analiz, operasyonel alanların çoğunun bir aydan daha az bir sürede aktif kaldığını, kayıt sayılarının en yoğun aylarda 3.500 alana ulaştığını ve temel altyapı alanlarının omnatuor.com– propeller-tracking.comve dahil olmak üzere çeşitli push bildirim hizmetleri in-page-push.com Ve pushimg.com 1.200 gün boyunca operasyonları sürdürdü ve yayından kaldırma girişimlerine rağmen operasyonel sürekliliği sağladı.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free