Doğru bir şekilde türetilmiş bir kelime: a kötü amaçlı reklam kampanyası yaygın olarak kullanılan meşru ve kötü amaçlı olmayan bir sistem bilgi aracı CPU-Z gibi davranarak Google aramada reklam yayınlıyor. Bu aldatıcı kampanya, Google Arama aracılığıyla reklamlar yayınlıyor ve kullanıcıları Redline bilgi hırsızlığı yapan kötü amaçlı yazılım içeren CPU-Z sürümünü indirmeleri için kandırıyor. Bazı kullanıcılar normalde bunu algılayacak tarayıcı korumasına ve virüsten koruma uygulamalarına sahip olsa da, yükleyici dijital olarak imzalanmıştır ancak kötü amaçlı bir PowerShell betiği içermektedir, bu da tespitten kaçınmaya yardımcı olur.
Böyle bir web sitesi oluşturuldu ve bu kampanya 2 Kasım’dan sahibinin web sitesini kapatmasına kadar devam etti. O zamanki WHOIS bilgilerine göre alan adı Namecheap’e ait ve web sitesi sunucusunu PQ Hosting barındırıyor. Whois detaylarına göre bu yazının yazıldığı sırada bir gün önce güncellendiğini, dolayısıyla web sitesi sahibinin web sitesi barındırma sunucusunu değiştirmiş ve devre dışı bırakmış olabileceğini de belirtmek gerekir.
Kullanıcılar arasında CPU-Z’nin güvenini ve aşinalığını kullanan saldırılar yeni değil; 2021 gibi erken bir tarihte takip edilebilir. Hatta bazıları CPU-Z yükleyicilerini yalnızca ilk önce bir indirici olarak indirip yüklemek için sağladığını iddia etti.
Google, kendisini organik arama sonuçlarından ayıran farklı yazı tipi renklerine veya görünür kenarlıklara sahip reklamları öne çıkarmadığı için en iyilerimiz buna kanabilir. Banner reklamlar açık olsa da, bağlantılara sahip kelime tabanlı reklamlardan kolaylıkla yararlanılabilir. Gerisi web sitesinin tasarımına bağlıdır (rapor edilen alan adlarından birine göre, URL adı buna kanan bazı kullanıcılar için bir faktör gibi görünmemektedir). Belirli anahtar kelime ve coğrafi konum hedeflemeyle, bu tür kötü amaçlı kampanyalar yürüten kişiler, web sitesi ihlalleri nedeniyle rapor edilmeden önce çok sayıda kullanıcıya virüs bulaştırır.
Notepad++ ile Benzer Kampanyalar
Bu kötü amaçlı yazılım kampanyası, şuna benzer: Notepad++ ile görüldü2021’e kadar izlenebilen bazı Notepad++ kullanıcıları, uygulamayı bilmeden arama sonuçlarının yukarısına yerleştirilen bir reklamdan indirdi ve aynı yöntemi kullanarak sistemden yararlandı.
Kaynağa göre RedLine Stealer, Mart 2020’de keşfedilen bir kötü amaçlı yazılımdır. Aynı zamanda 1 Temmuz 2021 gibi erken bir tarihte bir gizlilik aracı kılığına girdiği de keşfedilmiştir.
Google Reklam Politikaları ve Web Barındırma Sunucularıyla İlgili Sorun
Google’ın bu tür web sitelerine karşı politikaları vardır, ancak Google web sitesini ve indirilebilir içeriği herhangi bir kötü amaçlı yazılım açısından kontrol etse bile, reklam onaylandıktan sonra indirilebilir içeriği değiştirmek zor değildir. Bu, reklam ağının ve barındırma şirketlerinin çözmesi gereken bir zorluktur.
Ucuza bir web sitesi açmak zahmetsizdir ve bir web kayıt kuruluşuna ve barındırma şirketine sahte kayıt ayrıntıları ve bilgileri vermek hiçbir çaba gerektirmez. Kripto para biriminin belirli barındırma şirketleri tarafından kabul edilmesiyle, kredi kartı yoluyla gerçek bilgi verme ihtiyacını ortadan kaldırmak veya bir kullanıcıyı kredi kartı kimlik bilgilerine göre kara listeye alma olanağına sahip olmak kolaydır.
Bunun karlı bir girişim olabileceği göz önüne alındığında, benzer kampanyaların Notepad++ ve CPU-Z gibi tanınmış uygulamalara karşı kullanılması şaşırtıcı değil. Google daha fazla güvenlik önlemi ekleyene veya en azından kelime tabanlı reklamları Google arama sonuçlarında açıkça vurgulayana kadar, kullanıcıların bağlantının üzerindeki ‘sponsorlu reklam’ ifadesine dikkat etmesi ve reklamda ve arama sonucunda belirtilen web sitesinin adını fark etmesi gerekecektir.
Her zamanki gibi, yanlış pozitif olabileceğini varsayarak güvenlik uygulamalarından gelen uyarıları göz ardı etmemek de en iyisidir. Kötü hediyeyi görecek göze sahip olmak şimdilik ilerlemenin tek yolu.