iOS kullanıcılarını etkileyen kaçamak bir reklam dolandırıcılığı kampanyası gün ışığına çıktı. Buna VASTFLUX denir.
Araştırmacılar, tesadüfen karşılaştıkları büyük bir reklam dolandırıcılığı kampanyasını başarıyla ortadan kaldırdılar.
Satori Tehdit İstihbaratı ve Araştırma Ekibi kampanyaya, tek bir etki alanının arkasındaki IP adreslerinin sürekli olarak değiştirilmesini içeren bir kaçınma tekniği olan “hızlı akış” ve gömülecek bir çerçeve olan “VAST” (Video Reklam Sunma Şablonu) kelimelerinin birleşiminden oluşan VASTFLUX adını verdi. videolardaki reklamlar. Araştırmacılar, farklı bir reklam dolandırıcılığı planını araştırırken VASTFLUX operasyonuyla karşılaştıklarını söylediler. Diğer şemaya bakarken, farklı uygulama kimliklerini kullanarak anormal derecede fazla sayıda istek oluşturan bir uygulama fark ettiler.
O zamandan beri kampanyayı derinlemesine incelediler, her şeyi alt üst etmeden önce iç işleyişini ortaya çıkardılar.
VASTFLUX, yakından
Satori araştırmacıları, VASTFLUX’u “dijital reklam öğelerine kötü amaçlı JavaScript kodu enjekte ederek dolandırıcıların çok sayıda görünmez video reklam oynatıcısını arka arkaya istiflemesine ve reklam görüntülemelerini kaydetmesine olanak tanıyan bir kötü amaçlı reklam saldırısı” olarak tanımladı. Gelişmişliği, yalnızca operatörlerinin dijital reklamcılık ekosistemi hakkında sahip olduğu samimi bilgileri yansıtır.
Görünüşe göre bu kampanya, 2020’de manşetlere çıkan Matryoshka adlı eski bir reklam dolandırıcılığı planının bir uyarlamasıydı. Araştırmacılar, VASTFLUX’un özellikle iOS’ta reklam yayınlayan uygulamalardan yararlandığını söyledi. “Operasyon sırasında 1.700’den fazla uygulama ve 120 yayıncı aldatıldı, günde 12 milyar reklam isteği ile en yüksek hacme ulaştı ve yaklaşık 11 milyon cihazı etkiledi” dediler.
VASTFLUX, operatörlerin yayınladığı statik bir reklama JavaScript (JS) enjeksiyonlarıyla başlar. Bu komut dosyaları, reklam alanı için statik bir başlık resmi, başlık resminin arkasında bir video reklam oynatıcı ve yığın video oynatıcılar için parametreler içeren şifreli reklam yapılandırmalarının şifresini çözer. Daha sonra bir komut dosyası, statik başlığın arkasına ne yerleştirileceğine ilişkin ek bilgi için ana komut ve kontrol (C2) sunucusunu çağırır.
Araştırmacılar, VASTFLUX’un, reklamların boyutu da dahil olmak üzere yasal yayıncı ve uygulama kimliklerini taklit ettiğini ve operatörlerin bunu, koda üstünkörü bir bakışla kolayca gözden kaçabilecek bir şekilde yaptığını söylüyor. Kod ayrıca, hangi uygulamaların yanıltılacağına, bunların nasıl aldatılacağına ve video oynatıcıların reklamlarla 25 akışı oynatmak için nasıl istiflenebileceğine ilişkin maskeli talimatlar da içeriyordu. Bu reklamlar gelir sağlar, ancak oynadıkları videolar görünür bir reklamın arkasına gizlenerek video yığınını kullanıcılar için görünmez hale getirir.
Bu video yığını, reklamları aynı anda oluşturduğundan, aynı zamanda “yeni reklamlar yüklemeye devam et kötü amaçlı kod içeren reklam alanı kapatılana kadar”.
Araştırmacılar, “VAST oynatıcılarının URL’si base64’te kodlanmıştır” dedi. “Kodları çözüldüğünde, her oyuncunun kendi reklam ‘oynatma listesine’ sahip olduğunu ve her birinin izleme kodu eklenmiş kendi URL’sine sahip olduğunu gösteriyorlar. VASTFLUX bu kapasitesiyle en çok bir botnet gibi davranır; bir reklam alanı ele geçirildiğinde, kullanıcının göremediği veya etkileşimde bulunamadığı reklam dizilerini oluşturur.”
Kullanıcılar tarafından gizlenen videolarda oynatılan reklam oynatma listesinin şifresi çözülmüş kodu. (Kaynak: İNSAN)
VASTFLUX, dolandırıcılık izleme şemaları altında çalışma konusunda oldukça yeteneklidir. Bunu, pazarlamacıların reklamlarının gerçek kişiler tarafından görülüp görülmediğini kontrol etmelerini sağlayan bir teknoloji olan reklam doğrulama etiketlerini kullanmaktan kaçınarak yapar. VASTFLUX’un yayınladığı gerçek reklamlar, onları izleyecek etiketler olmadan gözden uzak olduğundan, kampanya neredeyse yokmuş gibi görünür.
yayından kaldırma
VASTFLUX’un yayından kaldırılması tek seferde gerçekleşmedi. Aslında, Satori ekibi, nihayet fişi çekmeden önce, tümü Haziran ve Temmuz 2022 arasında gerçekleşen üç “belirgin hafifletme tepkisi” dalgası gerçekleştirdi. İlki, VASTFLUX’un trafiğinde çarpıcı bir düşüşle sonuçlandı, ancak operatörler hızla adapte oldu. İkinci hafifletme, kampanyanın faaliyetlerinin zirvesinde gönderdiği milyarlarca isteğin yüzde 92’sini azalttı. Üçüncü ve son azaltma, VASTFLUX’un etkinliğini daha da engelledi.
Satori ekibi, bu reklam dolandırıcılığı planının arkasındaki operatörleri belirledi, ancak isimlerini vermediler. Dolandırıcılığı kötüye kullanan kuruluşlarla yakın işbirliği içinde çalışan VASTFLUX, Aralık ayında kaçınılmaz olanla karşılaştı. “[B]Günde 12 milyar istekle zirveye ulaşan VASTFLUX ile ilişkili id istekleri artık sıfırda,” ekip bloglarında gururla ilan etti.
Bu reklam sahtekarlığı kampanyası, özellikle uygulamalar içindeki reklam alanlarını hedeflediğinden, yasal uygulamaların VASTFLUX ile ilgili reklamlar göstermeye başlaması oldukça olasıdır. Bununla birlikte, iOS kullanıcılarının herhangi biri veya tümü, bir uygulamayı kullanırken arka planda oynatılan birden fazla videonun cihaz performansında düşüş, pilin daha hızlı bitmesi ve hatta aşırı ısınma gibi etkilerini yaşamaya başlayabilir.
Bunlar, reklam yazılımı bulaşmasının klasik belirtileridir ve cihazınızda bunlardan bir veya daha fazlası varsa şüphelenin ve bunlara hangi uygulamaların neden olduğunu bulmaya çalışın. Belki de cihazınızın nasıl davrandığına dikkat etmeye başlamanın zamanı gelmiştir. Araştırmacılar, dikkat etmeniz gereken aşağıdaki diğer tehlike işaretlerini sağladı:
- Cihazın ekranı, gece yarısı gibi beklenmedik zamanlarda ve sormadan açılıyor gibi görünüyor.
- Bir uygulama aniden cihazın performansını yavaşlatır.
- Veri kullanımı bir günden diğerine önemli ölçüde sıçrar.
- Bir uygulama sık sık ve uyarı vermeden çöküyor.
Güvende kal!
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.