“Tehdit yalnızca tarayıcıdadır ve yasal ve beklenen bir e-postadan, sosyal medya sitesinden, arama motoru sorgusundan yapılan bir tıklamayla, hatta yalnızca güvenliği ihlal edilmiş siteye gidilerek başlatılabilir
Son aşamadaki kötü amaçlı yazılım, uzak bir etki alanına (“mybigeye) bağlantı kuran bir HTA yüküdür ]Nihai hedefe koşullu yönlendirmeyi gerçekleştiren site ve uzaktan erişim truva atları, bu saldırıların sürekli ve gelişen bir tehdit olduğunun işaretidir
Segura, “Uluslararası alan adlarına sahip Punycode, tehdit aktörleri tarafından kurbanları kimlik avına çıkarmak için yıllardır kullanılıyor olsa da, bu, kötü amaçlı reklam yoluyla marka kimliğine bürünme bağlamında ne kadar etkili kaldığını gösteriyor” dedi ” söz konusu Bu hafta yayınlanan bir analizde
“Güvenilir bir kötü amaçlı yazılım dağıtım zinciri ellerinde olduğunda, kötü niyetli aktörler sahte sayfalarını geliştirmeye ve özel kötü amaçlı yazılım yükleri oluşturmaya odaklanabilirler ”
siber-2
Kontrolü geçemeyen kullanıcılar meşru Notepad++ web sitesine yönlendirilirken, potansiyel bir hedefe “izleme amacıyla ve aynı zamanda her indirmeyi benzersiz ve zamana duyarlı hale getirmek için” benzersiz bir kimlik atanır
Tehdit istihbaratı direktörü Jérôme Segura, “Tehdit aktörleri, reklam doğrulama kontrollerini atlayan ve belirli türdeki kurbanları hedeflemelerine olanak tanıyan kaçırma tekniklerini başarıyla uyguluyor” dedi
Ziyaretçinin tehdit aktörünün ilgisini çektiği düşünülürse kurban, yazılımın reklamını yapan kopya bir web sitesine yönlendirilir ve bu sırada isteğin sanal makineden kaynaklanıp kaynaklanmadığını belirlemek için sistem üzerinde sessizce parmak izi alınır ]icu”) özel bir bağlantı noktasında bulunur ve devam eden kötü amaçlı yazılımlara hizmet eder
Etkinliği keşfeden Malwarebytes, söz konusu “kullanıcıların parmak izini alma ve zamana duyarlı yükleri dağıtma açısından benzersizdir [
Görsel hileden bahsetmişken, çok sayıda tehdit aktörünün (TA569 (aka SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake ve EtherHiding) Cobalt Strike’ı, yükleyicileri ve hırsızları yaymak için sahte tarayıcı güncellemeleriyle ilgili temalardan yararlandığı gözlemlendi
Segura, “Reklamı tıklayan kişiler, sanal alanları, botları ve gerçek kurban olarak kabul edilmeyen herkesi filtrelemeyi amaçlayan bir gizleme hizmeti aracılığıyla yönlendirilecek Zayıf kod (koruma pasosu[ “Tehdit aktörleri, keepasstacking’de geçici bir alan oluşturdu[ ”
Açıklama, KeePass şifre yöneticisini arayan kullanıcıları kötü amaçlı reklamlarla hedef alan ve mağdurları bir etki alanına yönlendiren benzer bir kampanyayla örtüşüyor ]info), Unicode karakterlerini ASCII’ye dönüştürmek için kullanılan özel bir kodlama ” kayıt edilmiş
20 Ekim 2023Haber odasıKötü Amaçlı Reklamcılık / Siber Tehdit
Popüler yazılım arayan kullanıcıları hayali açılış sayfalarına yönlendirmek ve sonraki aşamadaki verileri dağıtmak için Google Ads’ten yararlanan bir kötü amaçlı reklamcılık kampanyasıyla ilgili ayrıntılar ortaya çıktı
Punycode’un kötüye kullanılması tümüyle yeni bir durum olmasa da, bunun hileli Google Ads ile birleştirilmesi, arama motorları aracılığıyla yapılan kötü amaçlı reklamcılığın giderek daha karmaşık hale geldiğinin bir işaretidir ”
Saldırı, Google arama sonuçları sayfasında, tıklandığında sahte bir site göstererek botları ve diğer istenmeyen IP adreslerini filtreleyen sahte reklamlar sunmak için Notepad++ ve PDF dönüştürücüler arayan kullanıcıları hedef alıyor ]bilgi vs ķeepass[ ”
Tuzak siteye giren kullanıcılar, kötü amaçlı bir yükleyici indirmeleri için kandırılıyor ve bu da sonuçta diğer kötü amaçlı kodları indirmek üzere tasarlanmış bir yükleyici olan FakeBat’ın (diğer adıyla EugenLoader) çalıştırılmasına yol açıyor Benzer alan adlarını meşru site olarak kaydetmek için Punycode’u kullanarak amaç, homograf saldırısı ve kurbanları kötü amaçlı yazılım yüklemeye teşvik edin
Proofpoint araştırmacısı Dusty Miller, “Sahte tarayıcı güncellemeleri, tehlikeye atılmış web siteleri ve güncellemeyi meşrulaştırmak ve kullanıcıları tıklamaya ikna etmek için kullanıcının tarayıcısına göre özelleştirilmiş bir cazibe ile son kullanıcının güvenini kötüye kullanıyor