CPU-Z adı verilen popüler bir sistem profili oluşturma aracı için kötü amaçlı bir yükleyici yaymak amacıyla meşru Windows haber portalı gibi görünen sahte siteler kullanan yeni bir kötü amaçlı reklam kampanyası tespit edildi.
Malwarebytes’ten Jérôme Segura, “Bu olay, altyapısında (alan adları) ve tespit edilmekten kaçınmak için kullanılan gizleme şablonlarında görüldüğü üzere Notepad++, Citrix ve VNC Viewer gibi diğer yardımcı programları hedef alan daha büyük bir kötü amaçlı reklam kampanyasının bir parçasıdır” dedi.
Kötü amaçlı reklam kampanyalarının, yaygın olarak kullanılan yazılımların reklamını yapan kopya siteler kurduğu biliniyorsa da, en son etkinlik, web sitesinin WindowsReport’u taklit etme yönünde bir sapmaya işaret ediyor[.]com.
Amaç, Google gibi arama motorlarında CPU-Z arayan şüphelenmeyen kullanıcıları, tıklandığında onları sahte portala (workspace-app) yönlendiren kötü amaçlı reklamlar sunarak kandırmaktır.[.]çevrimiçi).
Aynı zamanda, kampanyanın amaçlanan kurbanı olmayan kullanıcılara, gizleme olarak bilinen bir teknikle, farklı makalelerin yer aldığı zararsız bir blog sunulur.
Hileli web sitesinde barındırılan imzalı MSI yükleyicisi, RedLine Stealer’ı ele geçirilen ana makineye dağıtmak için bir kanal görevi gören, FakeBat (diğer adıyla EugenLoader) olarak bilinen bir yükleyici olan kötü amaçlı bir PowerShell betiği içeriyor.
Segura, “Tehdit aktörünün Windows Report’a benzeyen bir tuzak site oluşturmayı seçmesi mümkün çünkü birçok yazılım yardımcı programı genellikle resmi web sayfaları yerine bu tür portallardan indiriliyor.” dedi.
Bu, popüler yazılımlara yönelik yanıltıcı Google Ads’ün kötü amaçlı yazılım dağıtım vektörü olduğu ilk kez ortaya çıkmadı. Geçen hafta siber güvenlik firması eSentire, BlackCat fidye yazılımı saldırısının önünü açan güncellenmiş Nitrogen kampanyasının ayrıntılarını açıkladı.
Kanadalı siber güvenlik firması tarafından belgelenen diğer iki kampanya, kullanıcıları şüpheli web sitelerine yönlendiren arabadan indirme yönteminin, son aylarda NetWire RAT, DarkGate ve DanaBot gibi çeşitli kötü amaçlı yazılım ailelerini yaymak için kullanıldığını gösteriyor.
Bu gelişme, tehdit aktörlerinin çok faktörlü kimlik doğrulamayı atlatmak ve hedeflenen hesapları ele geçirmek için NakedPages, Strox ve DadSec gibi ortadaki rakip (AiTM) kimlik avı kitlerine giderek daha fazla güvenmeye devam etmesiyle ortaya çıkıyor.
Hepsinden önemlisi, eSentire ayrıca Wiki-Slack saldırısı olarak adlandırılan yeni bir yönteme de dikkat çekti; bu yöntem, bir Wikipedia makalesinin ilk paragrafının sonunu tahrif ederek ve paylaşarak kurbanları saldırganın kontrolündeki bir web sitesine yönlendirmeyi amaçlayan, kullanıcı yönlendirmeli bir saldırıdır. Slack’te.
Özellikle Slack’teki “yanlış yönetim” tuhaflığından yararlanıyor[s] Vikipedi URL’si kurumsal mesajlaşma platformunda önizleme olarak görüntülendiğinde otomatik olarak bir bağlantı oluşturmak için birinci ve ikinci paragraf arasındaki boşluk”.
Bu saldırıyı gerçekleştirmenin temel ön koşulunun, Vikipedi makalesindeki ikinci paragrafın ilk kelimesinin üst düzey bir alan (örneğin, in, at, com veya net) olması gerektiği ve iki paragrafın makalenin ilk 100 kelimesi içinde yer almalıdır.
Bu kısıtlamalarla bir tehdit, Slack’in paylaşılan sayfanın önizleme sonuçlarını biçimlendirme biçiminin, tıklatıldığında kurbanı bubi tuzaklı bir siteye götüren kötü amaçlı bir bağlantıya işaret etmesi gibi bu davranışı bir silah haline getirebilir.
eSentire, “Birinin etik korkulukları yoksa, ilgili Wikipedia sayfalarını düzenleyerek Wiki-Slack saldırısının saldırı yüzeyini artırabilirler” dedi.