Dolandırıcılar, meşru ve popüler yazılım arayan kişilere kötü amaçlı yazılım yaymak için arama motoru devinin reklam platformu Google Adwords’ü kötüye kullanıyor.
Google’ın güvenlik önlemleri genellikle sağlamdır, ancak uzmanlar geçici bir çözüm bulmayı başardıklarını keşfettiler.
Kampanya basittir – dolandırıcılar Grammarly, MSI Afterburner, Slack veya diğerleri gibi popüler yazılımları klonlar ve onlara bir bilgi hırsızı bulaştırır. Bu durumda, saldırganlar Raccoon Stealer ve IceID kötü amaçlı yazılım yükleyicisini ekliyorlardı. Ardından, kurbanların kötü amaçlı programları indirmeleri için gönderileceği bir açılış sayfası oluşturacaklardı. Bu sayfalar, yasal olanlarla görünüşte aynı görünecek şekilde tasarlanmıştır.
Google’ı kandırmak
Ardından, bir reklam oluşturup Google Adwords’e yerleştireceklerdi. Bu şekilde, birisi bu programları veya diğer alakalı anahtar kelimeleri aradığında, reklamları çeşitli yerlerde (Google arama motoru sonuç sayfasındaki en üst konumlar dahil) görür.
İşin püf noktası, Google’ın algoritmasının, tehlikeli yazılımlar barındıran kötü niyetli açılış sayfalarını tespit etmede nispeten iyi olmasıdır. Saldırganlar, güvenlik önlemlerini atlatmak için, reklamın ziyaretçileri göndereceği zararsız bir açılış sayfası da oluşturur.
Bu açılış sayfası, kurbanları hemen kötü niyetli olana yönlendirecektir.
Kötü amaçlı yazılımları dağıtmak için meşru yazılımlardan yararlanan siber saldırı kampanyaları yeni bir şey değil, ancak araştırmacılar, insanları açılış sayfalarına gerçekten götürme yöntemleri söz konusu olduğunda çoğunlukla karanlıkta kaldılar. Ekim ayının sonlarında, araştırmacılar 200’den fazla sahte alan adı içeren büyük bir kampanya keşfettiler, ancak bugüne kadar hiç kimse alan adlarının nasıl tanıtıldığını bilmiyordu.
Arsa keşfedildiğine göre, Google’ın kampanyayı hızlı bir şekilde sonlandırması beklenebilir (eğer bunu daha önce yapmamışsa).
Dolandırıcılar, yukarıda belirtilen uygulamaların yanı sıra taklit de ediyorlardı. (yeni sekmede açılır) bu programlar: Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird ve Brave.
Yolu ile: BleepingBilgisayar (yeni sekmede açılır)
