Yeraltı Forumlarında İvme Kazanan Siyahi SEO Teklifleri

Sophos’taki araştırmacılar, şüphelenmeyen kullanıcıları kötü amaçlı yazılım indirmeye çekmek için kötü amaçlı reklam kullanan birden fazla kampanya belirledi.

Araştırmacılar, “Bir kullanıcı ilgili bir terim aradığında ve kötü amaçlı siteye tıkladığında, saldırganlar, kullanıcının arama motoru aracılığıyla geldiğini doğrulamak için Yönlendiren başlığını kontrol eder ve ardından onları meşru bir yazılım uygulaması kılığında kötü amaçlı yazılım indirmeye ikna eder” dedi.

Sophos’ta tehdit araştırma direktörü Christopher Budd, Information Security Media Group’a, yeraltı forumlarında bu tür hizmetlere yönelik çok çeşitli kampanya ve reklamlarda kötü amaçlı reklam kullanımının yeniden canlandığını söyledi.

Budd, “Microsoft’un kötü amaçlı makrolara karşı koruma sağlamak için geçen yıl yaptığı değişiklikler üzerinde çalışan saldırganlar olabileceğine inanıyoruz. Bir hizmet olarak siber suçların büyümesi, tehdit aktörleri tarafından kötü amaçlı reklamcılığın artan kullanılabilirliğini ve kullanımını da açıklayabilir,” dedi.

Budd, kötü amaçlı reklamcılığın birçok avantajı olduğunu söyledi. Siber suçlular, kullanıcıları özellikle coğrafi olarak hedeflemek için kullanabilir. Ve bu tür kötü amaçlı yazılım kampanyalarının savunucular için izini sürmesi ve ortadan kaldırması zor olabilir, dedi.

Son zamanlarda, Trend Micro’daki araştırmacılar, BlackCat hizmet olarak fidye yazılımı grubunun, kötü amaçlı kötü amaçlı yazılımları dağıtmak için yasal kuruluşların web sayfalarında seçilen anahtar kelimeleri kullanarak nasıl bir tehdit etkinliği kümesi geliştirdiğini ortaya çıkardı (bkz.: BlackCat Arka Kapıyı Zorlamak İçin Kötü Amaçlı Reklamcılığı Kullanıyor).

Sophos araştırmacıları, Midjourney ve ChatGPT gibi yapay zeka ile ilgili araçları arayan kullanıcıları hedefleyen kampanyalar da buldu. Budd, “Suçluların kötü amaçlı reklam kampanyalarını geliştirmeye devam etmesi muhtemeldir ve güvenlik topluluğu tetikte olmalıdır” dedi.

IcedID’yi içeren en son kötü amaçlı reklam kampanyaları arasında Microsoft Teams, Slack, Brave Browser ve LibreOffice gibi iletişim platformlarıyla ilgili tuzaklar; WebEx, GoTo, AnyDesk ve TeamViewer gibi BT yönetim araçları; ve finansla ilgili yazılımlar.

Başka bir kampanyada araştırmacılar, kötü amaçlı bir siteden bir VHD kapsayıcısının indirildiğini gözlemlediler. Monte edildiğinde ortaya çıktı Installer.batyürütme ayrıcalıklarını artırmayı, Windows Defender için tarama istisnaları eklemeyi ve bir uzak toplu komut dosyasını ve bir yürütülebilir dosyayı indirip yürütmeyi amaçlayan basit komutlar içeren bir toplu iş dosyası.

Araştırmacılar, toplu komut dosyasındaki URL’lerin önceki BatLoader kampanyalarıyla aynı karma değerleri içerdiğini buldu. İlk erişim kötü amaçlı yazılım yükleyicisi BatLoader, tehdit aktörlerinin önde gelen ticari bilgi hırsızı Raccoon Stealer ve arka kapı Gozi/Ursnif gibi daha gelişmiş kötü amaçlı yazılımları indirmesine olanak tanır.

Artan talep?

Sophos araştırmacıları, önde gelen suç pazarlarını analiz ettiler ve 2016’ya kadar giden SEO zehirlenmesi, kötü amaçlı reklamcılık ve ilgili hizmetler için önemli sayıda reklam ve tartışma gözlemlediler.

Son zamanlarda, kötü niyetli kişiler güvenliği ihlal edilmiş Google Ads hesaplarını satılık olarak listeledi. Araştırmacılar ayrıca, bir paketin parçası olarak sözde Siyah SEO hizmetlerinin satışını ve diğer kötü amaçlı yazılımla ilgili listeleri gözlemlediler.

Araştırmacılar, “Pazar yeri kullanıcılarının SEO zehirlenmesine ve kötü amaçlı reklamcılığa büyük ilgisi var” dedi. “Bunun nedeni, kötü amaçlı reklamcılığın tehdit aktörlerine çeşitli avantajlar sunması olabilir: Belirli bölgeleri hedeflemelerine olanak tanır ve kurbanlar zaten bir şeyler indirmeye çalıştıkları için enfeksiyon kapma olasılığı artabilir.”

Kötü amaçlı reklamcılık ayrıca e-posta filtrelerini atlar ve kullanıcıları bir bağlantıyı tıklamaya veya bir eki indirip açmaya ikna edebilir.