Popüler yazılımların indirilmesi için Google’da arama yapmak her zaman risklerle birlikte gelmiştir, ancak araştırmacılara ve sözde rasgele bir sorgu koleksiyonuna göre son birkaç aydır düpedüz tehlikeli olmuştur.
Spamhaus’taki gönüllüler Perşembe günü “Tehdit araştırmacıları, Google Reklamları aracılığıyla ılımlı bir kötü amaçlı reklam akışı görmeye alışkındır” diye yazdı. “Ancak, son birkaç gün içinde araştırmacılar, çok sayıda kötü amaçlı yazılımın kullanılmasıyla birlikte çok sayıda ünlü markayı etkileyen büyük bir artışa tanık oldular. Bu ‘norm’ değil.”
Birçok yeni tehditten biri: MalVirt
Artış, AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook ve XLoader dahil olmak üzere çok sayıda kötü amaçlı yazılım ailesinden geliyor. Geçmişte, bu aileler genellikle Microsoft Word belgelerini bubi tuzaklı makrolarla ekleyen kimlik avına ve kötü amaçlı spam’e güveniyordu. Geçtiğimiz ay boyunca Google Ads, suçluların Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor ve Thunderbird gibi markaları taklit ederek meşru indirmeler kılığına giren kötü amaçlı yazılımlarını yaymaları için başvurulacak yer haline geldi.
Spamhaus’un raporunu yayınladığı gün, güvenlik firması Sentinel One’dan araştırmacılar, .NET’te uygulanan çok sayıda kötü amaçlı yükleyiciyi zorlayan gelişmiş bir Google kötü amaçlı reklam kampanyasını belgelediler. Sentinel One, bu yükleyicilere MalVirt adını verdi. Şu anda, MalVirt yükleyicileri, hem Windows hem de macOS için mevcut olan ve en yaygın olarak XLoader olarak bilinen kötü amaçlı yazılımı dağıtmak için kullanılıyor. XLoader, Formbook olarak da bilinen kötü amaçlı yazılımın halefidir. Tehdit aktörleri, kişilerin verilerini ve virüslü cihazlardan diğer hassas bilgileri çalmak için XLoader’ı kullanır.
MalVirt yükleyicileri, uç nokta koruması ve analizinden kaçınmak için gizlenmiş sanallaştırma kullanır. Gerçek C2 trafiğini gizlemek ve ağ tespitlerinden kaçınmak için MalVirt, Azure, Tucows, Choopa ve Namecheap dahil olmak üzere sağlayıcılarda barındırılan komut ve kontrol sunucularının şifresini çözmek için işaretler kullanır. Sentinel One araştırmacısı Tom Hegel şunları yazdı:
Microsoft’un İnternet’teki belgelerde Office makrolarını varsayılan olarak engellemesine bir yanıt olarak, tehdit aktörleri alternatif kötü amaçlı yazılım dağıtım yöntemlerine yöneldiler; en son olarak kötü amaçlı reklamcılık. Gözlemlediğimiz MalVirt yükleyicileri, tehdit aktörlerinin tespitten kaçmak ve analizi engellemek için ne kadar çaba sarf ettiğini gösteriyor.
Formbook ailesinin kötü amaçlı yazılımı, MalVirt yükleyicileri tarafından önemli miktarda anti-analiz ve anti-algılama tekniklerinin uygulanması yoluyla konuşlandırılan oldukça yetenekli bir bilgi hırsızıdır. Geleneksel olarak kimlik avı e-postalarının eki olarak dağıtılan bu kötü amaçlı yazılımı dağıtan tehdit aktörlerinin muhtemelen kötü amaçlı reklamcılık eğilimine katıldığını değerlendiriyoruz.
Tehdit aktörlerinin kötü amaçlı reklam yoluyla ulaşabileceği kitlenin devasa boyutu göz önüne alındığında, kötü amaçlı yazılımların bu yöntem kullanılarak dağıtılmaya devam etmesini bekliyoruz.
Google temsilcileri bir görüşmeyi reddetti. Bunun yerine şu açıklamayı yaptılar:
Kötü aktörler, kimliklerini gizlemek ve politikalarımızdan ve uygulamalarımızdan kaçmak için genellikle karmaşık önlemler kullanır. Geçtiğimiz birkaç yılda bununla mücadele etmek için yeni sertifika politikaları başlattık, reklamveren doğrulamasını hızlandırdık ve koordineli dolandırıcılıkları tespit etme ve önleme kapasitemizi artırdık. Son zamanlarda hileli reklam etkinliğindeki artışın farkındayız. Bunu ele almak kritik bir önceliktir ve bu olayları olabildiğince çabuk çözmek için çalışıyoruz.
Google’ın kötü amaçlı reklamcılığının kontrolden çıktığına dair anekdot niteliğinde kanıtlar bulmak zor değil. Yazılım yüklemeleri arayan aramalar muhtemelen kötü amaçlı reklamcılıkla sonuçlanma olasılığı en yüksek olanlardır. Örneğin, Google’ın Perşembe günü “görsel stüdyo indirme” araması için döndürdüğü sonuçları ele alalım:
Bu Google sponsorlu bağlantıya tıklamak beni downloadstudio’ya yönlendirdi[.]VirusTotal tarafından yalnızca tek bir uç nokta sağlayıcısı tarafından kötü amaçlı olarak işaretlenen net:
Perşembe akşamı, bu sitenin sunduğu indirme, 43 kötü amaçlı yazılımdan koruma motoru tarafından kötü amaçlı olarak algılandı:
İndirme kötü niyetli: