Spamhaus’taki gönüllüler evvelki gün Google konusunda bir uyarı yayınladılar:
“”Google ads malvertising” araması yapın ve son birkaç hafta içinde yayınlanan çok sayıda makale listelenecektir. Tehdit araştırmacıları, Google Reklamları aracılığıyla ılımlı bir kötü amaçlı reklam akışı görmeye alışkındır. Ancak, son birkaç gün içinde araştırmacılar, çok sayıda kötü amaçlı yazılımın kullanılmasıyla birlikte çok sayıda ünlü markayı etkileyen büyük bir artışa tanık oldular. Bu ‘normal’ değil.”
Artış, AuroraStealer, IcedID , Meta Stealer, RedLine Stealer, Vidar, Formbook ve XLoader dahil olmak üzere çok sayıda kötü amaçlı yazılım gruplarından geliyor. Geçmişte, bu gruplar genellikle Microsoft Word belgelerini bubi tuzaklı makrolarla ekleyen kimlik avına ve kötü amaçlı spam’ler kullanıyorlardı. Geçtiğimiz ay boyunca Google Ads, suçluların Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor ve Thunderbird gibi markaları taklit ederek meşru indirmeler kılığına giren kötü amaçlı yazılımlarını yaymaları için başvurulacak yer haline geldi.
Spamhaus’un raporunu yayınladığı gün, güvenlik firması Sentinel One’dan araştırmacılar, .NET’te uygulanan çok sayıda kötü amaçlı yükleyiciyi zorlayan gelişmiş bir Google kötü amaçlı reklam kampanyasını belgelediler. Sentinel One, bu yükleyicilere MalVirt adını verdi. Şu anda, MalVirt yükleyicileri, hem Windows hem de macOS için mevcut olan ve en yaygın olarak XLoader olarak bilinen kötü amaçlı yazılımı dağıtmak için kullanılıyor. XLoader, Formbook olarak da bilinen kötü amaçlı yazılımın halefidir. Tehdit aktörleri, kişilerin verilerini ve virüslü cihazlardan diğer hassas bilgileri çalmak için XLoader’ı kullanıyor.
MalVirt yükleyicileri, uç nokta koruması ve analizinden kaçınmak için gizlenmiş sanallaştırma kullanıyor. Gerçek C2 trafiğini gizlemek ve ağ tespitlerinden kaçınmak için MalVirt, Azure, Tucows, Choopa ve Namecheap dahil olmak üzere sağlayıcılarda barındırılan komut ve kontrol sunucularının şifresini çözmek için işaretler kullanıyor.
Google’ın son birkaç on yılda kötü amaçlı siteleri geri dönen reklamlardan ve arama sonuçlarından filtreleme konusunda kaydettiği tüm ilerlemeye rağmen, suçluların yeni yollar bulduğu görülüyor. Bu suçlular, filtrelemeye karşı koymak için en son teknikleri bulmada çok başarılılar. Google onları engellemenin bir yolunu bulur bulmaz, suçlular bu korumaları alt etmenin yeni yollarını buluyor.
Google dengesini yeniden kazanana kadar, insanlar Google’da ve muhtemelen diğer arama sitelerinde, özellikle de yazılım indirmeleri için arama yaparken son derece dikkatli olmalıdır.
Bu yükselişe ne sebep olabilir?
abuse.ch’in kurucusu şöyle yorumlamış:
“Bir tehdit aktörünün kötü amaçlı reklamcılığı karanlık ağda bir hizmet olarak satmaya başlamış olması muhtemeldir ve buna büyük bir talep olabilir.”
Bu reklamlarda farklı altyapıların kullanıldığını ve farklı kötü amaçlı yazılım ailelerinin yayıldığı gözlemlediği için “reklam sunumunun” tehdit aktörlerinin satın aldığı bir hizmet olduğu tahmin ediliyor.
Ek olarak, araştırma ekipleri aynı anda tam arama terimi için görünen ancak farklı kötü amaçlı yazılım ailelerini yayan iki sahte reklam görüyorlar – bu, bunun bir hizmet olarak kötü amaçlı reklamcılık olduğu gerçeğine yönelik başka bir işaret.
Kaynak : 