Güneydoğu ve Doğu Asya’daki Çince konuşan kişiler, güvenliği ihlal edilmiş makinelere FatalRAT gibi uzaktan erişim truva atları sağlayan yeni bir haydut Google Ads kampanyasının hedefleridir.
ESET bugün yayınlanan bir raporda, saldırıların, popüler uygulamaları arayan kullanıcıları truva atı bulaşmış yükleyicileri barındıran hileli web sitelerine yönlendiren Google arama sonuçlarında görünmek için reklam alanları satın almayı içerdiğini söyledi. O zamandan beri reklamlar kaldırıldı.
Sahte uygulamalardan bazıları Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao ve WPS Office’tir.
Slovak siber güvenlik firması, “Onlardan indirilen web siteleri ve yükleyiciler çoğunlukla Çince ve bazı durumlarda yanlış bir şekilde Çin’de bulunmayan yazılımların Çince sürümlerini sunuyor.” söz konusuAğustos 2022 ile Ocak 2023 arasında saldırıları gözlemlediğini de sözlerine ekledi.
Kurbanların çoğu Tayvan, Çin ve Hong Kong’da bulunuyor ve onları Malezya, Japonya, Filipinler, Tayland, Singapur, Endonezya ve Myanmar izliyor.
Saldırıların en önemli yönü, kötü amaçlı yükleyiciyi yaymak için yazım hatası yapılmış etki alanlarına sahip benzer web sitelerinin oluşturulmasıdır; bu, hileye ayak uydurmak amacıyla yasal yazılımı yükleyen, ancak aynı zamanda FatalRAT dağıtan bir yükleyiciyi de düşüren yükleyicidir.
Bunu yaparak, saldırgana, rastgele kabuk komutlarını yürütme, dosyaları çalıştırma, web tarayıcılarından veri toplama ve tuş vuruşlarını yakalama dahil olmak üzere, mağdur edilen bilgisayarın tam kontrolünü verir.
Araştırmacılar, “Saldırganlar, web siteleri için kullanılan alan adlarıyla ilgili olarak, resmi adlara olabildiğince benzer olmaya çalışarak biraz çaba harcadılar” dedi. “Sahte web siteleri, çoğu durumda yasal sitelerin aynı kopyalarıdır.”
Bulgular, Trend Micro’nun FatalRAT’ı yaymak için bir varış vektörü olarak Adobe, Google Chrome, Telegram ve WhatsApp’ı lekelenmiş yazılım paketlerinden yararlanan bir Purple Fox kampanyasını ifşa etmesinden bir yıldan kısa bir süre sonra geldi.
Ayrıca, çok çeşitli kötü amaçlı yazılımlara hizmet etmek veya alternatif olarak kullanıcıları kimlik bilgileriyle kimlik avı sayfalarına yönlendirmek için Google Ads’in daha geniş çapta kötüye kullanıldığı bir ortamda gelirler.
İlgili bir gelişmede, Symantec’in Tehdit Avcısı Ekibi, Frebniis adlı önceden belgelenmemiş .NET tabanlı bir implantla Tayvan’daki varlıkları hedefleyen başka bir kötü amaçlı yazılım kampanyasına ışık tuttu.
Symantec, “Frebniis tarafından kullanılan teknik, başarısız web sayfası isteklerini gidermek ve analiz etmek için kullanılan bir IIS özelliğiyle ilgili bir DLL dosyasının (iisfreb.dll) belleğine kötü amaçlı kod enjekte etmeyi içerir.” söz konusu.
“Bu, kötü amaçlı yazılımın tüm HTTP isteklerini gizlice izlemesine ve saldırgan tarafından gönderilen özel olarak biçimlendirilmiş HTTP isteklerini tanımasına olanak tanıyarak uzaktan kod yürütülmesine olanak tanır.”
Saldırıyı bilinmeyen bir aktöre bağlayan siber güvenlik firması, şu anda İnternet Bilgi Servisleri (IIS) sunucusunu çalıştıran Windows makinesine erişimin nasıl elde edildiğinin bilinmediğini söyledi.