Google insanları popüler ücretsiz yazılım uygulamalarının bubi tuzaklı kopyalarını indirmeleri için kandırmak amacıyla arama platformunda kötü amaçlı reklamlar yayınlayan siber suçlularla mücadele etmeye devam ediyor. Organik arama sonuçlarının üzerinde görünen ve genellikle aynı yazılımın yasal kaynaklarına giden bağlantılardan önce gelen kötü amaçlı reklamlar, Google’da yazılım aramayı riskli bir iş haline getirebilir.
Google, kullanıcıları güvende tutmanın en büyük öncelik olduğunu ve şirketin kötüye kullanım politikalarını oluşturmak ve uygulamak için 24 saat çalışan binlerce kişilik bir ekibe sahip olduğunu söylüyor. Çoğu hesaba göre, arka kapılı yazılımlara yol açan kötü reklamlardan kaynaklanan tehdit, bir yıl öncesine kıyasla önemli ölçüde azaldı.
Ancak siber suçlular sürekli olarak Google’ın kötüye kullanım karşıtı radarının altından geçmenin ustaca yollarını buluyor ve kötü amaçlı yazılımlara yol açan yeni kötü reklam örnekleri hâlâ çok yaygın.
Örneğin, bu hafta başında ücretsiz grafik tasarım programı için Google’da yapılan bir arama ÜcretsizCAD arama sonuçlarının üst kısmındaki “Sponsorlu” reklamın, freecad-us’ta bulunan yazılımın reklamını yaptığını gösteren aşağıdaki sonucu üretti[.]org. Her ne kadar bu web sitesi resmi FreeCAD web sitesi olduğunu iddia etse de, bu onur doğrudan aşağıdaki sonuca aittir: meşru freecad.org.
freecad-bizi nasıl tanırız[.]org kötü amaçlı mı? Bir inceleme DomainTools.com Bu alan adının İnternet adresindeki 200’den fazla alan adı arasında en yenisi (19 Ocak 2024’te kayıtlı) olduğunu göster 93.190.143[.]252 popüler yazılım başlıklarına kafa karıştırıcı derecede benzeyenler: Dashlane projesi[.]iletişim, filezillasoft[.]iletişim, kaleci yöneticisi[.]iletişimVe Libreofficeproject[.]iletişim.
Hollanda’daki bu ana bilgisayardaki bazı alan adları, BT dünyasındaki yerleşik bilgi kaynaklarından içerik çalan yazılım inceleme web sitelerinden biraz daha fazlası gibi görünüyor; Gartner’ın, Bilgisayar Dünyası, Eğik çizgi Ve TechRadar.
93.190.143 adresindeki diğer alanlar[.]252, gerçek yazılım indirmelerine hizmet eder, ancak siteler doğrudan gezinme yoluyla ziyaret edilirse bunların hiçbirinin kötü amaçlı olması muhtemel değildir. Biri ziyaret ederse openai-projesi[.]kuruluş ve popüler Windows masaüstü yönetimi uygulamasının bir kopyasını indirir Yağmur ölçerörneğin, indirilen dosya, rainmeter.com’da mevcut olan gerçek Rainmeter yükleyicisiyle aynı dosya imzasına sahiptir.
Ama bu sadece bir hile, diyor Tom Hegelgüvenlik firmasının baş tehdit araştırmacısı Nöbetçi Bir. Hegel, bu kötü amaçlı alanları bir yıldan fazla bir süredir takip ediyor ve görünüşte zararsız yazılım indirme sitelerinin, popüler yazılımların meşru kopyalarını, siber suçluların sistemleri uzaktan yönetmesine olanak tanıyan arka kapılı sürümlerle değiştirerek periyodik olarak kötülüğe dönüşeceğini söyledi.
Hegel, “Sahte içerik almak için otomasyon kullanıyorlar ve kötü amaçlı yazılım barındırmaya girip çıkıyorlar” dedi ve kötü amaçlı indirmelerin yalnızca ABD gibi belirli coğrafi bölgelerden gelen ziyaretçilere sunulabileceğini belirtti. . “Bu gruba bağlı olduğunu gördüğümüz kötü niyetli reklam kampanyalarında, alan adları arama motorlarında meşruiyet kazanana kadar beklerler ve ardından bir veya daha fazla gün sayfayı çevirip sonra geri dönerler.”
Şubat 2023’te Hegel, aynı ağ hakkında Sentinel One’ın adını verdiği bir raporun ortak yazarlığını yaptı. MalVirt (“kötü amaçlı reklamcılık” üzerine bir oyun). Çeşitli yazılım ürünlerini taklit eden kötü amaçlı reklamlardaki artışın, bilgi hırsızı truva atlarından kaynaklanan kötü amaçlı yazılım bulaşmalarındaki artıştan doğrudan sorumlu olduğu sonucuna vardılar. Buzlu Kimlik, Redline Hırsızı, Form defteri Ve Aurora Hırsızı.
Hegel, kötü amaçlı yazılım temalı reklamlardaki artışın, Microsoft’un internetten indirilen belgelerdeki Office makrolarını varsayılan olarak engellemeye başlamasından kısa bir süre sonra ortaya çıktığını belirtti. Bu grubun mevcut kötü amaçlı reklam kampanyalarının hacminin bir yıl öncesine göre nispeten düşük göründüğünü söyledi.
Hegel, “Aynı kampanya devam ediyor gibi görünüyor” dedi. “Geçen Ocak ayında Google’da ‘Autocad’ için yapılan her arama kötü bir şeye yol açtı. Artık sanki her düzine aramadan birini almak için Google’a para ödüyorlar. Sanırım iniş çıkışlardan dolayı hala devam ediyor [of the] kötü amaçlı yazılım barındıran ve ardından meşru görünen alan adları.”
Bu Hollanda ana bilgisayarındaki web sitelerinin birçoğu (93.190.143[.]252) şu anda Google’ın Güvenli Tarama teknolojisi tarafından engelleniyor ve web sitesinin, uyarıyı görmezden gelip devam eden ziyaretçilere kötü amaçlı yazılım bulaştırmaya çalışacağını belirten dikkat çekici bir kırmızı uyarıyla etiketlendi.
Ancak Google’ın neden aynı ana makinedeki 240’tan fazla alanı benzer şekilde engellemediği veya bunları arama dizininden tamamen kaldırmadığı bir sır olarak kalıyor. Özellikle Hollanda IP adresinde barındırılan bu alan adlarından başka hiçbir şeyin olmadığı ve hepsinin geçen yıl bu adreste kaldığı göz önüne alındığında.
KrebsOnSecurity’nin sorularına yanıt veren Google, güvenli bir reklam ekosistemi sürdürmenin ve kötü amaçlı yazılımları platformlarından uzak tutmanın Google genelinde bir öncelik olduğunu söyledi.
Google yazılı bir açıklamada, “Kötü aktörler sıklıkla kimliklerini gizlemek ve politikalarımızdan ve yaptırımlarımızdan kaçınmak için karmaşık önlemler kullanıyor, bazen Google’a bir şey, kullanıcılara başka bir şey gösteriyor” dedi. “Söz konusu reklamları inceledik, politikalarımızı ihlal edenleri kaldırdık ve ilgili hesapları askıya aldık. Korumalarımızı izlemeye ve uygulamaya devam edeceğiz.”
Google, 2022’de 5,2 milyar reklamı kaldırdığını, 4,3 milyardan fazla reklamı kısıtladığını ve 6,7 milyondan fazla reklamveren hesabını askıya aldığını söylüyor. Şirketin son reklam güvenliği raporu, Google’ın 2022’de kötüye kullanım politikalarını ihlal ettiği için 1,36 milyar reklamı engellediğini veya kaldırdığını söylüyor.
Bu hikayede atıfta bulunulan alan adlarından bazıları Sentinel One’ın Şubat 2023 raporuna dahil edildi, ancak o zamandan bu yana, resmi indirme sitelerini taklit edenler gibi düzinelerce alan daha eklendi. Corel çizgisi, Github Masaüstü, Roboform Ve Ekip görüntüleyici.
FreeCAD kullanıcı forumundaki bu Ekim 2023 raporu, yazılımın bir kopyasını freecadsoft’tan indirdiğini bildiren bir kullanıcıdan geldi[.]com’da sitenin “freecad” için Google arama sonuçlarında en üstte tanıtıldığını gördükten sonra. Neredeyse bir ay sonra başka bir FreeCAD kullanıcısı aynı dolandırıcılığa maruz kaldığını bildirdi.
FreeCAD forum kullanıcısı “Matterform” 19 Kasım 2023’te “Bu beni yakaladı” diye yazmıştı. “Lütfen Google’a bir rapor bırakın ki işaretleyebilsin. Sponsorlu yayınlar için Google’a para ödediler.”
Sentinel One’ın raporu, devam eden bu MalVirt kampanyasının ardındaki “kim” konusunu derinlemesine incelemedi ve atıflara işaret eden çok az sayıda değerli ipucu var. Söz konusu alan adlarının tümü şu adresten kaydedilmiştir: webnic.ccve birçoğu sitenin içerik için hazır olduğunu belirten bir yer tutucu sayfa görüntüler. Bu yer tutucu sayfaların HTML kaynağının görüntülenmesi, koddaki gizli yorumların çoğunun Kiril dilinde olduğunu gösterir.
Dolandırıcıları Google’ın Reklam Şeffaflığı araçlarını kullanarak takip etmeye çalışmak fazla sonuç vermedi. Freecad-us’un yer aldığı kötü amaçlı reklam için reklam şeffaflığı kaydı[.]org (yukarıdaki ekran görüntüsünde), reklam için ödeme yapmak için kullanılan reklam hesabının Google aramada daha önce yalnızca bir reklam yayınladığını gösteriyor: Yeni Zelanda’da bir düğün fotoğrafçılığı web sitesinin reklamını yapıyordu.
Bu fotoğrafçılık web sitesinin görünen sahibi, yorum taleplerine yanıt vermedi, ancak aynı zamanda Google reklam hesabının saldırıya uğramış ve bu kötü amaçlı reklamları yayınlamak için kullanılmış olması da muhtemeldir.