Siber saldırganlar son birkaç yıldır reklamlarla desteklenen kötü amaçlı yazılımlarla, tüketicileri ve işletmeleri giderek daha fazla hedef alıyor. Bunun için yüksek ilgi gören bilgisayar programlarını indirmeyi vadeden sahte internet siteleri oluşturan saldırganlar, arama motorlarına verdikleri reklamlar aracılığıyla sonuç sayfasının en üstünde yer alıyor.
Siber suçlular, gelişen teknolojiye ayak uydurarak farklı taktiklerle internet kullanıcılarının kişisel verilerine saldırmaya devam ediyor. Kimliği belirsiz hesaplar aracılığıyla bağlantı göndererek ya da kaynağı güvenilir olmayan programların indirilmesiyle tehdit yaratan siber suçlular, bu kez dikkatli kullanıcıları dahi gafil avlayacak bir yöntem geliştirdi.
Güvenlik araştırmacıları tarafından ortaya çıkarılan bu yöntem, kimlik avı saldırısı düzenleyen sahte internet sitelerinin, reklam yoluyla arama motorlarında en üstte yer almasını sağlıyor. Genellikle oyun indirme veya program yükleme için kullanılan ISO dosyasının, kötü amaçlı kullanımını inceleyen araştırmacılar AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize programları için indirme sayfalarını taklit eden internet sitelerinin reklam yoluyla yayıldığını keşfetti.
Özellikle popüler internet sitelerinin ya da yazılımların adlarını taklit eden siber suçlular, normal kullanıcılar tarafından fark edilemeyecek sahte internet siteleri oluşturuyor. Bir virüs gibi çalışan bu yöntem, kullanıcının arama motorunda gördüğü siteye tek bir tıklama yapması halinde saldırıya maruz kalmasına neden oluyor. Kullanıcıların arama motorunda yer alan site isimlerinin doğru yazıldığına dikkat etmeleri ve kaynağı belirsiz sitelerden program indirmemeleri sahte sitelere karşı ilk korumayı sağlıyor.
Tek Bir Tıklama Yetiyor
Kötü amaçlı reklam kampanyası, ilk maruz kalmadan sonra enfeksiyon gibi yayılmaya devam ediyor. Saldırganlar, kullanıcının ağında kaldıkları sürece kimlik bilgilerini ele geçiriyor, önemli sistemlerde kalıcılık sağlıyor ve şantajla veri sızdırıyor. ISO dosyası üzerinde incelemelerde bulunan araştırmacılar, içeriğinde reklamı yapılan yazılımın yanı sıra bir Python dosyası ve zararlı yazılımlar içeren bir ZIP arşivi olduğunu da tespit etti. Python.exe işlemi tarafından yüklenen bir DLL, Meterpreter stager biçiminde kötü amaçlı kod çalıştırmak üzere ayarlanıyor ve kurbanın bilgisayarına erişim sağlıyor.