Siber güvenlik firması Secureworks, kendisini Google Ads olarak gizleyen yeni bir kötü amaçlı yazılım türünü keşfetti ve hızla yayılıyor.
Bumblebee olarak bilinen kötü amaçlı yazılım ilk olarak bir yıldan uzun bir süre önce keşfedildi ve genellikle kimlik avı saldırıları yoluyla yayıldı, ancak Secureworks kötü niyetli indirmenin arkasındaki aktörün artık daha yaratıcı hale geldiği ve yeni bir trende sıçradığı konusunda uyardı.
Securework’ün yakın tarihli 2022 Tehdit Durumu raporunda, Google Ads veya SEO zehirlenmesi yoluyla dağıtılan trojenleştirilmiş yazılım saldırılarında artış olduğunu keşfetti ve Bumblebee, giderek daha popüler hale gelen bu yöntemi deneyen birçok kişiden yalnızca biri.
Google Ads aracılığıyla Bumblebee kötü amaçlı yazılımı
Zoom, Cisco AnyConnect, ChatGPT ve Citrix Workspace gibi birçok popüler iş uygulamasında bulunan örneklerle, kötü amaçlı yazılımın erişimi arama motorunun çok ötesindedir. Sahte indirme sayfalarından meşru olduğunu düşündükleri yazılımları yükleyen kurbanlar, daha sonra kötü amaçlı yazılımdan etkilenirler.
Firmanın İstihbarat Direktörü Mike McLellan, çevrimiçi reklamların %1 kadarının kötü amaçlı içerik içerdiğini açıkladı. McLellan, bir kurbanın saldırıya uğradığı tipik senaryoyu açıkladı: Bir şirketin BT ekibi aracılığıyla yazılım indirmek yerine, birçok uzaktan çalışan kontrolü ele alıyor ve potansiyel risklerin farkında olmadan kendileri çevrimiçi oluyor.
Rapor, “Bumblebee kötü amaçlı yazılımını içerecek şekilde değiştirilmiş” meşru bir Cisco AnyConnect VPN yükleyicisinin indirilmesinin ayrıntılarını veriyor. Sonuç olarak, tehdit aktörü yalnızca kurbanın sistemine erişim sağlamakla kalmadı, aynı zamanda Cobalt Strike gibi ek araçları da konuşlandırdı.
McLellan, yeni bulguların yalnızca şirketlerin web reklamlarına erişimi kısıtlamak ve yazılım indirme ayrıcalıklarını yönetmek için katı politikalara sahip olmasının ne kadar önemli olduğunu gösterdiğini açıklıyor.
Bunun ötesinde, çalışanlara bir dizi bağlantı veya reklamı takip etmek yerine doğrudan yasal web sitesine giden kendi yollarını oluşturmaları veya kendilerini süreçten tamamen çıkarıp şirketlerinin BT ekibinin işi devralmasını talep etmeleri tavsiye edilir.
