Bilgisayar korsanlarının kötü amaçlı yazılım dağıtmak için Google Ads’ü kötüye kullandığı bir kez daha bulundu (yeni sekmede açılır) – bu sefer, Güneydoğu ve Doğu Asya’da yaşayan Çince konuşan hedefleri vuruyor.
ESET’teki siber güvenlik uzmanları, tanımlanamayan tehdit aktörlerinin, Firefox, WhatsApp, Signal, Skype ve Telegram dahil olmak üzere Çin’de bulunmayan bazıları da dahil olmak üzere tümü büyük programların kimliğine bürünen çok sayıda kötü niyetli açılış sayfası oluşturduğunu tespit etti.
Açılış sayfalarının tümü, programları da barındıran aynı sunucuda barındırılır. Ancak, yükü indirirken, kurbanlar hem meşru yazılımı hem de tehdit aktörlerinin hedef uç nokta üzerinde kontrol sahibi olmasını sağlayan bir uzaktan erişim truva atı olan FatalRAT’ı alır.
Ölümcül Sıçan
FatalRAT, tuş vuruşlarını günlüğe kaydetme, tarayıcılarda depolanan verileri çalma ve ek programları indirip çalıştırma gibi her türlü kötü şeyi yapma yeteneğine sahiptir. Araştırmacılar, truva atının bu sürümünün en azından Ağustos 2022’den beri kullanımda olduğunu, ancak eski sürümlerin daha erken, Mayıs ayında kullanımda olduğunu söyledi.
Saldırganlar, kötü amaçlı yazılımı dağıtmak için Google Reklamlarını kötüye kullandı; bu, birisi ünlü arama motorunda yukarıda belirtilen programlardan herhangi birini aradığında, kötü amaçlı açılış sayfalarını arama sonuçları sayfalarında çok üst sıralara çıkaracağı anlamına geliyordu.
Araştırmacılar, arama sonuçlarını yeniden üretemediler, ancak bilgisayar korsanlarının muhtemelen URL’leri ele geçirmekle meşgul olduklarını iddia ettiler:
ESET araştırmacısı Matías Porolli, “Bu tür arama sonuçlarını yeniden üretemesek de, reklamların yalnızca hedeflenen bölgedeki kullanıcılara sunulduğuna inanıyoruz” dedi. “Saldırganların web siteleri için kaydettirdikleri alan adlarının birçoğu yasal alan adlarına çok benzer olduğundan, saldırganların potansiyel kurbanları web sitelerine çekmek için URL ele geçirme yöntemine güvenmeleri de mümkündür” diye ekledi.
Araştırmacılar, bilgisayar korsanlarının son oyununun da bilinmediğini söyleyerek, kar amacıyla satmak için kimlik bilgilerinin peşinde olabileceklerini tahmin ettiler.