Siber Muhbir

Malwarebytes'ten Jérôme Segura, "Bu olay, altyapısında (alan adları) ve tespit edilmekten kaçınmak için kullanılan gizleme şablonlarında görüldüğü gibi Notepad++, Citrix ve VNC Viewer gibi diğer yardımcı programları hedef alan daha büyük bir kötü amaçlı reklam kampanyasının bir parçası" dedi.

Kötü amaçlı reklam kampanyalarının, yaygın olarak kullanılan yazılımların reklamını yapan kopya siteler oluşturduğu bilinse de, en son etkinlik, web sitesinin WindowsReport'u taklit etmesinde bir sapmaya işaret ediyor.

Amaç, Google gibi arama motorlarında CPU-Z arayan şüphelenmeyen kullanıcıları, tıklandığında onları sahte portala yönlendiren kötü amaçlı reklamlar sunarak kandırmaktır (workspace-app[.] çevrimiçi).

Aynı zamanda, kampanyanın amaçlanan kurbanları olmayan kullanıcılara, gizleme olarak bilinen bir teknik olan farklı makaleler içeren zararsız bir blog sunulur.

Hileli web sitesinde barındırılan imzalı MSI yükleyicisi, güvenliği ihlal edilmiş ana bilgisayara RedLine Stealer'ı dağıtmak için bir kanal görevi gören, FakeBat (diğer adıyla EugenLoader) olarak bilinen bir yükleyici olan kötü amaçlı bir PowerShell komut dosyası içerir.

Segura, "Tehdit aktörünün Windows Report'a benzeyen bir tuzak site oluşturmayı seçmesi mümkündür, çünkü birçok yazılım yardımcı programı genellikle resmi web sayfaları yerine bu tür portallardan indirilir" dedi.

Bu, popüler yazılımlar için aldatıcı Google Ads'in bir kötü amaçlı yazılım dağıtım vektörü olduğu ilk kez ortaya çıkmadı. Geçen hafta, siber güvenlik firması eSentire, BlackCat fidye yazılımı saldırısının önünü açan güncellenmiş bir Nitrojen kampanyasının ayrıntılarını açıkladı.

Kanadalı siber güvenlik firması tarafından belgelenen diğer iki kampanya, kullanıcıları şüpheli web sitelerine yönlendirmek için arabadan indirme yönteminin son aylarda NetWire RAT, DarkGate ve DanaBot gibi çeşitli kötü amaçlı yazılım ailelerini yaymak için kullanıldığını gösteriyor.

Gelişme, tehdit aktörlerinin çok faktörlü kimlik doğrulamayı atlamak ve hedeflenen hesapları ele geçirmek için NakedPages, Strox ve DadSec gibi ortadaki düşman (AiTM) kimlik avı kitlerine giderek daha fazla güvenmeye devam etmesiyle ortaya çıkıyor.

Hepsinden önemlisi, eSentire ayrıca, bir Wikipedia makalesinin ilk paragrafının sonunu tahrif ederek ve Slack'te paylaşarak kurbanları saldırgan tarafından kontrol edilen bir web sitesine yönlendirmeyi amaçlayan bir kullanıcı yönlendirme saldırısı olan Wiki-Slack saldırısı olarak adlandırılan yeni bir yönteme de dikkat çekti.

Özellikle, Wikipedia URL'si kurumsal mesajlaşma platformunda bir önizleme olarak oluşturulduğunda otomatik olarak bir bağlantı oluşturmak için Slack'te "birinci ve ikinci paragraf arasındaki boşluğu yanlış kullanan" bir tuhaflıktan yararlanır.

Bu saldırıyı gerçekleştirmenin temel ön koşulunun, Vikipedi makalesindeki ikinci paragrafın ilk kelimesinin üst düzey bir alan adı (örneğin, in, at, com veya net) olması ve iki paragrafın makalenin ilk 100 kelimesi içinde görünmesi gerektiğini belirtmekte fayda var.

Bu kısıtlamalarla, bir tehdit bu davranışı, Slack'in paylaşılan sayfanın önizleme sonuçlarını biçimlendirme şekli, tıklandığında kurbanı bubi tuzaklı bir siteye götüren kötü amaçlı bir bağlantıya işaret edecek şekilde silahlandırabilir.

eSentire, "Birinin etik korkulukları yoksa, Wikipedia sayfalarını tahrif etmek için düzenleyerek Wiki-Slack saldırısının saldırı yüzeyini artırabilirler" dedi.