Bir tehdit oyuncusu, Redline Info-Renting kötü amaçlı yazılımları sunmak için CPU-Z aracının truva atlı bir versiyonunu dağıtmak için Google reklamlarını kötüye kullanıyor.
Yeni kampanya, destek altyapısına dayanarak, kötü amaçlı yükler sunmak için Notepad ++ kötü niyetli kullanan aynı işlemin bir parçası olduğunu değerlendiren Malwarebytes analistleri tarafından tespit edildi.
Bilgisayar donanımını Windows'ta profilleyen bir araç olan truva atlı CPU-Z için kötü niyetli Google reklamı, meşru Windows News sitesi WindowsReport'un klonlanmış bir kopyasında barındırılıyor.
CPU-Z, kullanıcıların fan hızlarından CPU saat hızlarına, voltaja ve önbellek ayrıntılarına kadar farklı donanım bileşenlerini izlemelerine yardımcı olabilecek popüler bir ücretsiz yardımcı programdır.
Reklamı tıklamak, kurbanı, geçersiz ziyaretçileri zararsız bir siteye göndererek Google’ın istismar karşıtı tarayıcılarını kandıran bir yönlendirme adımıyla alır.
Yükü almak için geçerli kabul edilenler, aşağıdaki alanlardan birinde barındırılan bir Windows News sitesine yönlendirilir:
Meşru bir sitenin bir klonunu kullanmanın nedeni, kullanıcılar faydalı yardımcı programlar için indirme bağlantılarını barındıran teknoloji haber sitelerine aşina oldukları için enfeksiyon sürecine başka bir güven katmanı eklemektir.
"Şimdi İndir" düğmesine tıklamak, "Fakebat" kötü amaçlı yazılım yükleyicisi olarak tanımlanan kötü niyetli bir PowerShell komut dosyası içeren dijital olarak imzalanmış bir CPU-Z yükleyicisi (MSI dosyası) alınla sonuçlanır.
Dosyayı geçerli bir sertifika ile imzalamak, Windows Güvenlik Araçları veya Cihazda çalışan üçüncü taraf antivirüs ürünlerinin kullanıcı için bir uyarı vermesi olası değildir.
Yükleyici, uzak bir URL'den bir Redline Stealer yükü getirir ve kurbanın bilgisayarına başlatır.
Redline, bir dizi web tarayıcısından ve uygulamadan parola, çerez ve verileri ve kripto para cüzdanlarından hassas verileri toplayabilen güçlü bir stealer'dır.
Belirli yazılım araçlarını ararken kötü amaçlı yazılım enfeksiyonları şansını en aza indirmek için, kullanıcılar Google aramasında tanıtılan sonuçları tıklarken dikkat etmeli ve yüklenen sitenin ve etki alanı eşleşmesinin olup olmadığını kontrol etmeli veya bunları otomatik olarak gizleyen bir reklam bloğu kullanmalıdır.
GÜNCELLEME 11/10 - Bir Google sözcüsü, BleepingComputer'a Google Reklamları tarafından etkinleştirilen yukarıdaki kötüverizasyon kampanyası hakkında aşağıdaki yorumu gönderdi:
Platformumuzda kötü amaçlı yazılım içeren reklamlara izin vermiyoruz. Söz konusu reklamları, politikalarımızı ihlal eden ve ilgili hesaplara karşı uygun önlemleri aldık.
Kötü aktörlerin tespitimizden kaçmak için çeşitli taktikler kullanarak daha sofistike ve daha büyük bir ölçekte çalıştığını görmeye devam ediyoruz.
Reklamlar güvenlik çabalarımıza büyük yatırım yapıyoruz ve politikalarımızı ölçeklendirmek için 24 saat çalışan özel bir ekibimiz var.
LinkedIn Push Darkgate kötü amaçlı sahte Corsair iş teklifleri
Bilgisayar korsanları arka kapı Rusya Devleti, veri hırsızlığı için endüstriyel kuruluşlar
Discord hala kötü amaçlı yazılım aktivitesi - şimdi APT'ler eğlenceye katılıyor
Yüzlerce kötü niyetli python paketi, hassas verileri çalmayı buldu
Kötü amaçlı yazılımları iten reklamlar tarafından sızan bing sohbet yanıtları
Kaynak: Bleeping Computer