Tehdit oyuncuları, kullanıcıları BatLoader kötü amaçlı yazılımını dağıtan web sitelerine yönlendiren inandırıcı Webex yazılımı arama reklamları oluşturmak için Google Ads izleme şablonlarını bir açık olarak kullanıyorlar.
Webex nedir ?
Webex, Cisco’nun işbirliği ürünleri portföyünün bir parçası olan ve dünya genelindeki şirketler tarafından kullanılan bir video konferans ve iletişim merkezi paketidir.
Malwarebytes, bu kötü amaçlı reklam kampanyasının Google Arama’da bir haftadır etkin olduğunu ve tehdit oyuncularının Meksika’dan geldiğini bildiriyor.
Kötü amaçlı Google Reklam kampanyası
Malwarebytes, kötü amaçlı bir Google reklamının resmi Webex indirme portalını taklit ettiğini ve “webex” terimi için Google Arama sonuçlarında en yüksek pozisyonda sıralandığını bildiriyor.
Reklamı gerçek gibi gösteren şey, gerçek Webex logosunu kullanması ve tıklama hedefi olarak “webex.com” adresini göstermesidir. Bu reklam bileşenleri reklamın gerçek bir Cisco reklamından ayırt edilemeyecek şekilde görünmesini sağlar.
Tehdit oyuncuları, Google Ads platformunun izleme şablonunda bir açığı sömürdüğü için istedikleri gibi yönlendirebilirler ve aynı zamanda Google’ın politikalarına uyabilirler.
Özellikle, Google, reklam verenlerin cihazları, konumları ve reklam etkileşimleri ile ilgili diğer metriklerle ilgili toplanan kullanıcı bilgilerine dayalı olarak “son URL” oluşturma sürecini tanımlayan URL parametreleri içeren izleme şablonları kullanabileceğini söyler.
Politika, bir reklamın görüntülenen URL’sinin ve son URL’sinin aynı alan adına ait olması gerektiğini zorunlu kılar, ancak izleme şablonunu belirtilen alan adının dışındaki bir web sitesine yönlendirmesini engelleyen bir şey yoktur.
Ancak reklama tıklanırsa, ziyaretçi “trixwe.page[.]link” adresine yönlendirilir ve bu adres, araştırmacılardan ve otomatik tarayıcılardan geldiği görünen ziyaretleri filtreler.
Eğer kullanıcı hedef alınmak istenen biriyse, onları “monoo3at[.]com” sitesine yönlendirir ve orada potansiyel kurbanlar veya bir kum havuzunu kullanan araştırmacılar olup olmadığını belirlemek için daha fazla kontroller yapılır.
Eğer ziyaretçi tehdit oyuncularının hedeflediği biri ise, kötü amaçlı yazılım indirme sitesine “webexadvertisingoffer[.]com” yönlendirilir, diğerleri ise Cisco’nun resmi “webex.com” sitesine yönlendirilir.
Sahte Webex yükleyicisi
Sahte Webex sayfası ziyaretçileri indirme düğmelerine tıklarlarsa, BatLoader kötü amaçlı yazılımını kurmak için birkaç işlem başlatan bir MSI yükleyici alırlar ve PowerShell komutlarını çalıştırırlar.
Bu kötü amaçlı yazılım sonunda ek bir DanaBot kötü amaçlı yazılım yükler, bu yazılım 2018’den beri dolaşan modüler bir bankacılık truva atıdır ve şifreleri çalma, ekran görüntüleri yakalama, fidye yazılımı modüllerini yükleme, kötü amaçlı C2 trafiğini maskelama ve kompromize edilmiş ana bilgisayarlara HVNC aracılığıyla doğrudan erişim sağlama yeteneğine sahiptir.
DanaBot ile enfekte olanlar kimlik bilgileri çalınır ve bunlar saldırganlar tarafından ya daha fazla saldırı için kullanılır ya da diğer tehdit oyuncularına satılır.
Yazılım kaynağı ararken, Google Arama’da teşvik edilen sonuçları her zaman atlamak ve yazılım geliştiricisinden veya iyi bilinen güvenilir bir siteden doğrudan indirmek iyi bir uygulamadır.
kaynak: BleepingComputer