Google, tehdit aktörlerinin DeerStealer bilgi çalan kötü amaçlı yazılımları zorlayan sahte Google kimlik doğrulayıcı reklamlar oluşturmasına izin veren kendi reklam platformuna kurban oldu.
Yıllarca, kötü niyetli reklam (kötü niyetli) kampanyaları, tehdit aktörlerinin ziyaretçilerin cihazlarına kötü amaçlı yazılım yükleyen tanınmış yazılım sitelerini taklit etmek için reklamlar yerleştirdiği Google arama platformunu hedef aldı.
Daha da kötüsü, tehdit aktörleri, reklama güven duygusu katan meşru alan adlarını gösteren Google arama reklamları oluşturabildiler.
Malwarebytes tarafından bulunan yeni bir kötü niyetli kampanyada, tehdit aktörleri, kullanıcılar Google aramasında yazılımı aradıklarında Google Kimlik Doğrulama için bir reklam görüntüleyen reklamlar oluşturdular.
Reklamı daha ikna edici kılan şey, üçüncü bir taraf reklamı oluşturduğunda açıkça izin verilmemesi gereken tıklama URL'si olarak 'Google.com' ve "https://www.google.com" i göstermesidir.
Bu çok etkili URL gizleme stratejisini, Keepass, Arc tarayıcısı, YouTube ve Amazon da dahil olmak üzere geçmiş kötü niyetli kampanyalarda gördük. Yine de Google, bu imposter reklamlarının ne zaman oluşturulduğunu tespit edememeye devam ediyor.
Malwarebebytes, reklamverenin kimliğinin Google tarafından doğrulandığını ve aktörlerin kötüye kullandığı reklam platformunda başka bir zayıflık gösterdiğini belirtti.
Bu kötüverizasyon kampanyası hakkında temasa geçildiğinde Google, BleepingComputer'a MalwareBebytes tarafından bildirilen sahte reklamvereni engellediklerini söyledi.
Tehdit aktörlerinin meşru şirketleri taklit eden reklamları nasıl çıkarabileceği sorulduğunda Google, tehdit aktörlerinin aynı anda binlerce hesap oluşturarak ve düzenli bir ziyaretçinin göreceğinden farklı web sitelerine farklı web sitelerini göstermek için metin manipülasyonu ve gizleme kullanarak tespitten kaçındığını söyledi.
Bununla birlikte, şirket bu kötü niyetli kampanyaların tespitine ve kaldırılmasına yardımcı olmak için otomatik sistemlerinin ve insan gözden geçirenlerinin ölçeğini artırıyor. Bu çabalar, 3,4 milyar reklamı kaldırmalarına, 5.7 milyardan fazla reklamı kısıtlamalarına ve 2023'te 5.6 milyondan fazla reklamveren hesabını askıya almalarına izin verdi.
Sahte Google Authenticator reklamlarını tıkladıktan sonra ziyaretçiyi, gerçek bir Google portalını taklit eden "Chrome Web-Anutenticators.com" adresindeki açılış sayfasına bir dizi yönlendirme aracılığıyla alın.
Kötü Yazılım Analizi Sandbox firması Any.Run da bu kampanyayı Gözlemledi, X'teki bu kampanyadan ek açılış sayfaları paylaştı. Bunlar, Authenticcator-Descktop [.] Com, Chromstore-Authentifator [.] Com ve Authenticator-Gogle gibi benzer şekilde adlandırılmış alanları içerir. .] Com.
Sahte sitelerdeki 'Authenticator'ı İndir' düğmesine tıklamak, GitHub'da barındırılan "Authenticator.exe" [Virustotal] adlı imzalı bir yürütülebilir dosyanın indirilmesini tetikler.
Kötü amaçlı yazılımı barındıran GitHub deposu 'Authgg' ve Repo sahipleri, her ikisi de kampanyanın temasıyla ilişkili isimlere benzeyen 'Aute-Gogle' olarak adlandırılır.
İndirilen örnek Malwarebytes 'Songyuan Meiing Electronic Products Co., Ltd.' tarafından imzalandı. İndirmeden bir gün önce, ancak Any.Run daha önce 'Reedcode Ltd.' tarafından imzalanmış bir yük aldı.
Geçerli imza, dosya pencerelerinde güvenilirlik sağlar, potansiyel olarak güvenlik çözümlerini atlar ve kurbanın cihazında uyarılar olmadan çalışmasına izin verir.
İndirme yürütüldüğünde, kimlik bilgilerini, çerezleri ve web tarayıcınızda depolanan diğer bilgileri çalan DeerStealer Bilgi Çalma Kötü Yazılımlarını başlatır.
Yazılım indirmek isteyen kullanıcılar, Google aramasında tanıtılan sonuçları tıklamaktan kaçınmak, bir reklam engelleyici kullanmak veya tipik olarak kullandıkları yazılım projelerinin URL'lerini yer imlerine eklemek için önerilir.
Bir dosya indirmeden önce, bulunduğunuz URL'nin projenin resmi etki alanına karşılık geldiğinden emin olun. Ayrıca, indirilen dosyaları yürütmeden önce her zaman güncel bir AV aracıyla tarayın.
Sahte Crowdtrike Onarım Kılavuzu Yeni Infostealer kötü amaçlı yazılımını iter
Infostealer kötü amaçlı yazılım günlükleri, çocuk istismarı web sitesi üyelerini tanımlamak için kullanılan
Yeni açılmayan Hemlock Tehdit Oyuncusu Sistem Sistemleri Kötü Yazılımlarla Sistemler
Sahte Google Chrome hataları sizi kötü niyetli Powershell komut dosyaları çalıştırmaya kandırıyor
Stackexchange, kötü niyetli PYPI paketlerini cevap olarak yaymak için istismar edildi
Kaynak: Bleeping Computer