Kötü niyetli Google reklamları iyi bilinen bir tehdittir, ancak kötü amaçlı reklamlar Facebook, LinkedIn ve benzeri diğer popüler çevrimiçi platformlarda da bulunabilir.
Örneğin, Facebook kullanıcılarını SYS01 bilgi hırsızı ile enfekte etmeyi amaçlayan ve saldırganların sonsuza dek devam edebilmesi için ihtiyaç duydukları her şeyi ele geçiren kalıcı bir kampanya.
SYS01 kötü amaçlı yazılımı
“Çoğunda [the] Araştırmacılar, “reklamlar, kurbanın iki barındırma sitesinden birine, Google Sites veya True Hosting’e yönlendirileceğini” açıkladı. Daha sonra, kötü amaçlı bir ZIP dosyasına yol açan dinamik olarak oluşturulmuş başka bir URL’ye yönlendiriliyorlar.
Dosya otomatik olarak indirilir, ancak kurban tarafından çalıştırılması gerekir. Kötü amaçlı yazılım, kötü amaçlı kodu yüklemek ve yürütmek için DLL yan yüklemeyi, güvenlik yazılımı tarafından algılanmasını önlemek için çeşitli taktikleri kullanır, çalışmasına izin veren dosyaları ve dizinleri gizler ve kalıcılığı sağlamak için zamanlanmış görevler kullanır.
Kötü amaçlı yazılım, dünya genelinde kullanılan çok çeşitli tarayıcılarda (Chrome, Firefox, Opera, Brave, Cốc Cốc, Yandex Browser, Orbitum, CentBrowser ve diğerleri) saklanan çerezleri, giriş verilerini ve tercihleri çalabilmektedir.
SYS01 zararlı yazılımı ayrıca, tehlikeye atılan makineden erişilen çeşitli Facebook hesap türlerinden kişisel bilgiler, ödeme yöntemleri, takipçi sayıları vb. bilgileri de çıkarabiliyor.
Devam eden bir kötü amaçlı reklam kampanyası
Truswave araştırmacıları, “SYS01 kötü amaçlı yazılım kampanyası en erken Eylül 2023’te gözlemlendi ve bugün hala aktif” dedi. Uzun ömürlü olması, kullanılan taktiklerin ve reklamların sürekli evrim geçirmesinden kaynaklanmaktadır.
Şu anda kötü amaçlı reklamlar çoğunlukla Windows temalarını, Windows Görev Çubuğu temalarını, kırılmış oyunları, metinden videoya genAI modelini (Sora AI), “Tek Tıklamayla Windows, Office ve Photoshop için Orijinal Lisansların Kilidini Açmanın” (iddiaya göre) hızlı bir yolunu ve 3 boyutlu görüntüler oluşturmak için yazılımları tanıtıyor.
Ama genelde, popüler oyunların, multimedya uygulamalarının (örneğin Adobe Photoshop) ve çeşitli iş uygulamalarının crack’li versiyonları cazip geliyor.
Reklamlar, erişimlerini genişletmek amacıyla yeni oluşturulan ve ele geçirilen (ve adı değiştirilen) Facebook işletme sayfaları tarafından yayınlanıyor.
Sosyal medya hesapları için ele geçirilen oturum açma kimlik bilgileri, hesapları ele geçirmek ve kötü amaçlı yazılımı daha fazla yaymak için kullanılır. Diğer çalınan kimlik bilgileri muhtemelen karanlık web’de satışa sunulur ve çeşitli tehdit aktörlerinin ilk erişimi elde etmesine ve kurbanlarının ağında ve uç noktalarında bir dayanak noktası oluşturmasına yardımcı olur.
Araştırmacılar, “Bu tür tehditlerin sosyal medya ortamında çok yaygın olduğunu ve asla ortadan kalkmayabileceğini belirtmek önemlidir” dedi ve tavsiye edildi kuruluşların güvenlik kontrollerini, ihlal tespitini ve etkili yanıt önlemlerini uygulamalarına yardımcı olur.
“Güvenlik bilinci her zaman bir güvenlik programının parçası olmalı ancak bültenlerin, haber bültenlerinin veya diğer risk bildirimlerinin sıklığını artırmak kültürün bir parçası olmalı ve riskin bir kısmını azaltabilir” diye eklediler.
“İnsanların bir saldırıda her zaman ilk hedef olacağını bilmek, çok faktörlü kimlik doğrulamayı kullanmak için çok önemlidir ve bu tehditlerin etkisini sınırlamada güçlü tespit mekanizmaları kritik öneme sahiptir.
Derinlemesine savunma stratejileri yeni kavramlar değildir ancak uygulama ve bütçe kısıtlamaları karmaşıklıklar yaratır. İşletmeye yönelik taviz ve itibar kaybının riski ile maliyetini tartmak dikkatli bir değerlendirme gerektirir.”
0 Yorumlar