Yeni bir kampanya, Windows için Meta Quest (eski adıyla Oculus) uygulamasını arayan kullanıcıları AdsExhaust adlı yeni bir reklam yazılımı ailesini indirmeleri için kandırıyor.
Siber güvenlik firması eSentire bir analizde, “Reklam yazılımı, virüs bulaşmış cihazlardan ekran görüntüleri sızdırma ve simüle edilmiş tuş vuruşlarını kullanarak tarayıcılarla etkileşim kurma yeteneğine sahip.” dedi ve bu ayın başlarında etkinliği tespit ettiğini ekledi.
“Bu işlevler, reklamlara otomatik olarak tıklamasına veya tarayıcıyı belirli URL’lere yönlendirmesine olanak tanıyarak, reklam yazılımı operatörleri için gelir elde edilmesini sağlıyor.”
İlk enfeksiyon zinciri, sahte web sitesinin (“oculus-app) ortaya çıkarılmasını içerir.[.]com”) Google arama sonuçları sayfalarında arama motoru optimizasyonu (SEO) zehirleme tekniklerini kullanarak, şüphelenmeyen site ziyaretçilerini Windows toplu komut dosyası içeren bir ZIP arşivini (“oculus-app.EXE.zip”) indirmeye teşvik ediyor.
Toplu komut dosyası, bir komut ve kontrol (C2) sunucusundan ikinci bir toplu komut dosyasını almak üzere tasarlanmıştır; bu sunucu, başka bir toplu iş dosyasını almak için bir komut içerir. Ayrıca toplu komut dosyalarını farklı zamanlarda çalıştırmak için makinede zamanlanmış görevler oluşturur.
Bu adımı, meşru uygulamanın güvenliği ihlal edilmiş ana bilgisayara indirilmesi takip eder ve aynı anda ek Visual Basic Komut Dosyası (VBS) dosyaları ve PowerShell komut dosyaları, IP ve sistem bilgilerini toplamak, ekran görüntüleri yakalamak ve verileri uzak bir sunucuya sızdırmak için bırakılır ( “biz11[.]org/in.php”).
Sunucudan gelen yanıt, Microsoft’un Edge tarayıcısının çalışıp çalışmadığını kontrol eden ve bir kullanıcı girişinin en son ne zaman gerçekleştiğini belirleyen PowerShell tabanlı AdsExhaust reklam yazılımıdır.
eSentire, “Edge çalışıyorsa ve sistem boştaysa ve 9 dakikayı aşarsa, komut dosyası tıklamalar ekleyebilir, yeni sekmeler açabilir ve komut dosyasına yerleştirilmiş URL’lere gidebilir.” dedi. “Daha sonra açılan sayfayı rastgele şekilde yukarı ve aşağı kaydırıyor.”
Özellikle AdsExhaust’un ekrandaki belirli koordinatlarda rastgele tıklamalar gerçekleştirdiği göz önüne alındığında, bu davranışın web sayfasındaki reklamlar gibi öğeleri tetiklemeyi amaçladığından şüpheleniliyor.
Reklam yazılımı ayrıca, fare hareketi veya kullanıcı etkileşimi tespit edilirse açılan tarayıcıyı kapatabilir, faaliyetlerini kurbana gizlemek için bir katman oluşturabilir ve tıklamak için o anda açık olan Edge tarayıcı sekmesinde “Sponsorlu” kelimesini arayabilir. reklam gelirini artırmayı amaçlayan reklam.
Ayrıca, uzak bir sunucudan bir anahtar kelime listesi getirecek ve Start-Process PowerShell komutu aracılığıyla Edge tarayıcı oturumlarını başlatarak bu anahtar kelimeler için Google aramaları gerçekleştirecek donanıma sahiptir.
Kanadalı şirket, “AdsExhaust, kullanıcı etkileşimlerini akıllıca yönlendiren ve yetkisiz gelir elde etmek için faaliyetlerini gizleyen bir reklam yazılımı tehdididir” dedi.
“C2 sunucusundan kötü amaçlı kod almak, tuş vuruşlarını simüle etmek, ekran görüntüleri yakalamak ve zararlı faaliyetlerde bulunurken tespit edilmeden kalmak için katmanlar oluşturmak gibi birden fazla teknik içeriyor.”
Bu gelişme, arama sonuçları aracılığıyla ortaya çıkan benzer sahte BT destek web sitelerinin Hijack Loader’ı (aka IDAT Loader) sunmak için kullanılmasıyla ortaya çıkıyor ve bu da sonuçta Vidar Stealer enfeksiyonuna yol açıyor.
Saldırıyı öne çıkaran şey, tehdit aktörlerinin aynı zamanda sahte sitenin reklamını yapmak için YouTube videolarından yararlanması ve sahte yorumlar yayınlamak için botları kullanmasıdır; bu da, bir Windows güncelleme hatasına (hata kodu 0x80070643) çözüm arayan kullanıcılara bir meşruiyet cilası sağlıyor. ).
eSentire, “Bu, sosyal mühendislik taktiklerinin etkinliğini ve kullanıcıların çevrimiçi buldukları çözümlerin gerçekliği konusunda dikkatli olmaları gerektiğini vurguluyor” dedi.
Açıklama aynı zamanda fatura temalı ZIP arşivi ile İtalya’daki kullanıcıları hedefleyen ve Adwind (diğer adıyla AlienSpy, Frutas, jRAT, JSocket, Sockrat ve Unrecom) adlı Java tabanlı bir uzaktan erişim truva atı sağlamayı amaçlayan bir malpsam kampanyasının ardından geldi.
Broadcom’un sahibi olduğu Symantec, “Çıkartma sonrasında kullanıcıya INVOICE.html veya DOCUMENT.html gibi .HTML dosyaları sunulur ve bu dosyalar kötü amaçlı .jar dosyalarına yol açar” dedi.
“Düşürülen son veri, saldırganların tehlikeye atılan uç nokta üzerinde kontrol sahibi olmalarının yanı sıra gizli veri toplama ve sızdırmalarına da olanak tanıyan Adwind uzaktan erişim truva atıdır (RAT).