Yeni bir kampanya, Windows için Meta Quest (eski adıyla Oculus) uygulamasını arayan kullanıcıları AdsExhaust adlı yeni bir reklam yazılımı ailesini indirmeleri için kandırıyor.
Siber güvenlik firması eSentire, “Reklam yazılımı, virüs bulaşmış cihazlardan ekran görüntüleri sızdırma ve simüle edilmiş tuş vuruşlarını kullanarak tarayıcılarla etkileşim kurma yeteneğine sahip.” söz konusu Bir analizde, bu ayın başındaki aktiviteyi tanımladığını ekleyerek.
“Bu işlevler, reklamlara otomatik olarak tıklamasına veya tarayıcıyı belirli URL’lere yönlendirmesine olanak tanıyarak, reklam yazılımı operatörleri için gelir elde edilmesini sağlıyor.”
İlk enfeksiyon zinciri, sahte web sitesinin (“oculus-app) ortaya çıkarılmasını içerir.[.]com”) Google arama sonuçları sayfalarında arama motoru optimizasyonu (SEO) zehirleme tekniklerini kullanarak, şüphelenmeyen site ziyaretçilerini Windows toplu komut dosyası içeren bir ZIP arşivini (“oculus-app.EXE.zip”) indirmeye teşvik ediyor.
Toplu komut dosyası, bir komut ve kontrol (C2) sunucusundan ikinci bir toplu komut dosyası almak üzere tasarlanmıştır; bu sunucu, başka bir toplu iş dosyasını almak için bir komut içerir. Ayrıca toplu komut dosyalarını farklı zamanlarda çalıştırmak için makinede zamanlanmış görevler oluşturur.
Bu adımı, meşru uygulamanın güvenliği ihlal edilmiş ana bilgisayara indirilmesi takip eder ve aynı anda ek Visual Basic Komut Dosyası (VBS) dosyaları ve PowerShell komut dosyaları, IP ve sistem bilgilerini toplamak, ekran görüntüleri yakalamak ve verileri uzak bir sunucuya sızdırmak için bırakılır ( “biz11[.]org/in.php”).
Sunucudan gelen yanıt, Microsoft’un Edge tarayıcısının çalışıp çalışmadığını kontrol eden ve bir kullanıcı girişinin en son ne zaman gerçekleştiğini belirleyen PowerShell tabanlı AdsExhaust reklam yazılımıdır.
eSentire, “Edge çalışıyorsa ve sistem boştaysa ve 9 dakikayı aşarsa, komut dosyası tıklamalar ekleyebilir, yeni sekmeler açabilir ve komut dosyasına yerleştirilmiş URL’lere gidebilir.” dedi. “Daha sonra açılan sayfayı rastgele şekilde yukarı ve aşağı kaydırıyor.”
Özellikle AdsExhaust’un ekrandaki belirli koordinatlarda rastgele tıklamalar gerçekleştirdiği göz önüne alındığında, bu davranışın web sayfasındaki reklamlar gibi öğeleri tetiklemeyi amaçladığından şüpheleniliyor.
Reklam yazılımı ayrıca, fare hareketi veya kullanıcı etkileşimi tespit edilirse açılan tarayıcıyı kapatabilir, faaliyetlerini kurbana gizlemek için bir katman oluşturabilir ve tıklamak için o anda açık olan Edge tarayıcı sekmesinde “Sponsorlu” kelimesini arayabilir. reklam gelirini artırmayı amaçlayan reklam.
Ayrıca, uzak bir sunucudan bir anahtar kelime listesi getirecek ve Start-Process PowerShell komutu aracılığıyla Edge tarayıcı oturumlarını başlatarak bu anahtar kelimeler için Google aramaları gerçekleştirecek donanıma sahiptir.
Kanadalı şirket, “AdsExhaust, kullanıcı etkileşimlerini akıllıca yönlendiren ve yetkisiz gelir elde etmek için faaliyetlerini gizleyen bir reklam yazılımı tehdididir” dedi.
“C2 sunucusundan kötü amaçlı kod almak, tuş vuruşlarını simüle etmek, ekran görüntüleri yakalamak ve zararlı faaliyetlerde bulunurken tespit edilmeden kalmak için katmanlar oluşturmak gibi birden fazla teknik içeriyor.”
Bu gelişme, arama sonuçları aracılığıyla ortaya çıkan benzer sahte BT destek web sitelerinin Hijack Loader (diğer adıyla IDAT Loader) sunmak için kullanılmasıyla ortaya çıkıyor ve bu da sonuçta Vidar Stealer enfeksiyonuna yol açıyor.
Saldırıyı öne çıkaran şey, tehdit aktörlerinin aynı zamanda sahte sitenin reklamını yapmak için YouTube videolarından yararlanması ve sahte siteler yayınlamak için botları kullanmasıdır; bu da, Windows güncelleme hatasını (hata kodu 0x80070643) çözmek için çözüm arayan kullanıcılara bir meşruiyet cilası sağlıyor. ).
eSentire, “Bu, sosyal mühendislik taktiklerinin etkinliğini ve kullanıcıların çevrimiçi buldukları çözümlerin gerçekliği konusunda dikkatli olmaları gerektiğini vurguluyor.” söz konusu.
Açıklama aynı zamanda fatura temalı ZIP arşivi ile İtalya’daki kullanıcıları hedef alan ve Java tabanlı bir uzaktan erişim truva atı sunmaya yönelik bir malpsam kampanyasının ardından geldi. Geri sarma (aka AlienSpy, Frutas, jRAT, JSocket, Sockrat ve Unrecom).
Broadcom’un sahibi olduğu Symantec, “Çıkartma sonrasında kullanıcıya INVOICE.html veya DOCUMENT.html gibi kötü amaçlı .jar dosyalarına yol açan .HTML dosyaları sunuluyor.” söz konusu.
“Son düşen yük Geri sarma Saldırganların tehlikeye atılan uç nokta üzerinde kontrol sahibi olmalarının yanı sıra gizli veri toplama ve sızdırmalarına olanak tanıyan uzaktan erişim truva atı (RAT).
