Malvertising Tehdidi ve PS1Bot Zararlı Yazılımının Artışı
Son yıllarda siber güvenlik alanında yaşanan gelişmeler, her geçen gün yeni tehditlerin ortaya çıkmasına neden olmaktadır. Özellikle malvertising (kötü amaçlı reklam) kampanyaları, kullanıcıların sistemlerini tehdit eden zararlı yazılımların yayılımında önemli bir araç haline gelmiştir. Yeni bir araştırma, PS1Bot adında çok aşamalı bir zararlı yazılım çerçevesi ile ilişkili geniş çaplı bir malvertising kampanyasının ortaya çıktığını göstermektedir. Bu yazılım, kısa süre içinde kullanıcıların bilgilerini ve sistemlerini hedef alarak büyük bir tehdit unsuru oluşturmaktadır.
PS1Bot Hakkında Bilgiler
Cisco Talos araştırmacıları, Edmund Brumaghin ve Jordyn Dunk, PS1Bot’un, modüler bir tasarıma sahip olduğunu ve çeşitli kötü amaçlı aktiviteleri gerçekleştirmek için bir dizi modül içerdiğini belirtmektedir. Bu aktiviteler arasında bilgi hırsızlığı, klavye kaydı, keşif faaliyetleri ve sistem üzerinde kalıcı erişim sağlama gibi işlemler bulunmaktadır.
PS1Bot, enfekte olunan sistemlerde kalıcı kalıntı bırakmamak adına tasarlanmıştır. Bu zararlı yazılım, bellek içi yürütme tekniklerini kullanarak, iz bırakmadan sonraki modüllerin yürütülmesini sağlamakta ve böylece forensik araştırmaların zorlaşmasına neden olmaktadır.
Malvertising ve Dağıtım Yöntemleri
PS1Bot, 2025 yılının başlarından itibaren aktif olarak dağıtılmaya başlanmıştır. Dağıtım yöntemleri arasında malvertising ve SEO (Arama Motoru Optimizasyonu) zehirlenmesi yer almaktadır. Saldırının başlangıç noktası, kurbanlara kötü amaçlı reklamlar yoluyla ulaştırılan bir sıkıştırılmış arşivdir. Bu arşiv, içinde bir JavaScript yükleyici barındırır. Bu yükleyici, harici bir sunucudan bir script dosyasını çekerek, cihazda bir PowerShell betiği oluşturmaktadır.
PowerShell Betiği ve İletişim Süreci
Oluşturulan PowerShell betiği, bir komut ve kontrol (C2) sunucusu ile iletişime geçmekte ve sonraki aşama PowerShell komutlarını alarak zararlı yazılımın işlevselliğini artırmaktadır. PS1Bot, enfekte olan sistemde çeşitli kötü amaçlı işlevler gerçekleştirebilmektedir. Bu işlevler arasında, antivirüs tespiti, ekran görüntüsü alma, cüzdan verilerini çalma, tuş kaydı yapma ve bilgi toplama yer almaktadır.
Antivirüs tespiti, sistemde mevcut olan antivirüs yazılımlarının listesini alırken; ekran görüntüsü alma, enfekte olan sistemin ekranına dair görüntüleri yakalayıp C2 sunucusuna gönderir. Cüzdan çalar modülü ise, web tarayıcıları ve cüzdan uygulamalarından veri çalmaktadır. Tuş kaydedici ise, kullanıcıların tuşlarına bastıkları bilgileri ve pano içeriklerini kaydetmektedir.
Veri Hırsızlığı ve Kalıcılık
Bilgi hırsızlığı modülünün uygulaması, kelime listeleri kullanarak şifreler ve cüzdan seed dizeleri içeren dosyaları sıralamaktadır. Bu adım, kullanıcıların kriptopara cüzdanlarını hedef alarak bu bilgilere ulaşmayı amaçlamaktadır. Ayrıca, PS1Bot, sistemin yeniden başlatılması durumunda otomatik olarak başlatılacak bir PowerShell betiği oluşturmakta ve bu sayede cüzdan hırsızlık işlevselliğini korumaktadır.
Modüler yapı, yazılımın hızla güncellenmesini veya yeni işlevlerin eklenmesini sağlamaktadır. Bu nedenle, kullanıcıların dikkatli olmaları ve güvenlik yazılımlarını güncel tutmaları büyük bir önem taşımaktadır.
Google’ın Mücadele Yöntemleri
Google, yukarıda bahsedilen zararlı kampanyalarla mücadele etmek amacıyla yapay zeka sistemleri geliştirmektedir. Bu sistemler, büyük dil modelleri (LLMs) kullanarak geçersiz trafiği (IVT) tespit etmeyi ve zararlı davranışlar sergileyen reklam yerleştirmelerini daha doğru bir şekilde belirlemeyi amaçlamaktadır.
Google,’application ve web içeriğini, reklam yerleştirmelerini ve kullanıcı etkileşimlerini analiz ederek hızla ve güçlü bir koruma sağladıklarını ifade etmektedir. Sonuç olarak, bu süreçte içerik inceleme yeteneklerinde önemli bir iyileşme sağlanmış ve IVT’de %40 oranında bir azalma elde edilmiştir.
Malvertising’le mücadele ve bilgi güvenliği konularında sürekli gelişen teknoloji, hem bireysel kullanıcıların hem de kurumların kendilerini korumaları açısından kritik bir öneme sahip olmaktadır. Bu nedenle, kullanıcılar zararlı yazılımlara karşı bilinçli olunmalı ve güncel güvenlik stratejileri takip edilmelidir.
