Tehdit aktörleri, kullanıcıları Batloader kötü amaçlı yazılımını dağıtan web sitelerine yönlendiren ikna edici WebEx yazılım arama reklamları oluşturmak için Google Reklamları İzleme Şablonları'nı boşluk olarak kullanır.
Webex, Cisco'nun işbirliği ürünleri portföyünün bir parçası olan ve dünya çapında şirketler ve işletmeler tarafından kullanılan bir video konferans ve iletişim merkezi paketidir.
Malwarebebytes, kötü niyetli kampanyanın bir hafta boyunca Google aramasında aktif olduğunu ve tehdit aktörlerinin Meksika'dan geldiğini bildiriyor.
Malwarebebytes, kötü niyetli bir Google reklamının, "Webex" terimi için Google arama sonuçlarında en yüksek konumda yer alan resmi Webex İndirme Portalını taklit ettiğini bildiriyor.
Reklamın meşru görünmesini sağlayan şey, gerçek WebEx logosunu kullanması ve tıklama hedefi olarak meşru URL olan "Webex.com" ı görüntülemesidir. Bu reklam bileşenleri, reklamın Cisco'nun gerçek bir reklamından meşru ve ayırt edilemez görünmesini sağlar.
Tehdit aktörleri, Google reklam platformunun izleme şablonunda Google'ın politikasına uyurken iradeye yönlendirmelerine olanak tanıyan bir boşluk kullanabilir.
Özellikle Google, reklamverenlerin, cihazları, konumları ve reklam etkileşimleriyle ilgili diğer metriklerle ilgili olarak toplanan kullanıcı bilgilerine dayanan bir "son URL" inşaat sürecini tanımlayan URL parametrelerine sahip izleme şablonlarını kullanabileceğini söylüyor.
Politika, bir reklamın ekran URL'sinin ve son URL'nin aynı etki alanına ait olması gerektiğini zorunlu kılar. Yine de, hiçbir şey izleme şablonunu kullanıcıları belirtilen alan adının dışındaki bir web sitesine yönlendirmesini engellemiyor.
Bu durumda, tehdit aktörleri izleme şablonları olarak bir Firebase URL'si ("Trixwe.Page.Link") kullandılar.
Ancak, reklam tıklanırsa, ziyaretçi araştırmacılardan ve otomatik tarayıcılardan kaynaklanan ziyaretleri filtreleyen "Trixwe.Page [.] Bağlantı" na yönlendirilir.
Kullanıcı hedeflemek istedikleri biriyse, bunları "Monoo3AT [.] Com" sitesine yönlendirir, burada bir kum havuzu kullanan potansiyel kurbanlar veya araştırmacılar olup olmadığını belirlemek için daha fazla kontrol yapılır.
Ziyaretçi, aktörlerin hedeflemek istediği tehditlerden biri ise, "WebExadvertisingOffer [.] Com" da kötü amaçlı yazılım bırakma sitesine yönlendirilirken, diğerleri Cisco'nun meşru "Webex.com" sitesine yönlendirilecektir.
Sahte Webex sayfasının ziyaretçileri indirme düğmelerine tıklarsa, çeşitli işlemleri ortaya çıkaran ve Batloader kötü amaçlı yazılımları yüklemek için PowerShell komutlarını çalıştıran bir MSI yükleyicisi alırlar.
Bu kötü amaçlı yazılım sonuçta ek bir Danabot kötü amaçlı yazılım yükü getirecektir, şifresini çözecek ve yürütecektir.
Danabot, 2018'den beri vahşi doğada dolaşan, şifreleri çalma, ekran görüntüleri, fidye yazılımı modülleri yükleme, kötü niyetli C2 trafiğini maskeleme ve HVNC aracılığıyla ödün verilen ana bilgisayarlara doğrudan erişim sağlayan modüler bir bankacılık Truva atıdır.
Danabot ile enfekte olanlar, kimlik bilgilerini çalacak ve daha fazla saldırı için kullanacak veya diğer tehdit aktörlerine satacak saldırganlara gönderilecek.
Kaynak yazılım ararken, Google aramasında tanıtılan sonuçları her zaman atlamak ve yalnızca doğrudan yazılım geliştiricisinden veya iyi bilinen, güvenilir bir siteden indirmek iyi bir uygulamadır.
Sneaky Amazon Google Reklam Microsoft Destek Scam'e yol açar
Ransomware'de Hafta - 8 Eylül 2023 - Conti iddianameleri
Cisco, fidye yazılımı çeteleri tarafından sömürülen VPN sıfır gününü uyarıyor
Cisco Broadworks Kritik Kimlik Doğrulama Baypası Kusurundan Etkilendi
Hacking Campaion, Cisco VPN'leri ağları ihlal etmek için Bruteforfored
Kaynak: Bleeping Computer