Siber saldırganlar son birkaç yıldır reklamlarla desteklenen zararlı yazılımlarla, tüketicileri ve işletmeleri giderek daha fazla hedef alıyor.

Bunun için yüksek ilgi gören bilgisayar programlarını indirmeyi vadeden sahte internet siteleri oluşturan saldırganlar, arama motorlarına verdikleri reklamlar aracılığıyla sonuç sayfasının en üstünde yer alıyor.

2023’ün başlarında, önde gelen kripto para birimlerine gerçekleşen saldırılar gibi benzer olayları inceleyen Bitdefender araştırmacıları, bu kötü niyetli saldırıların çalışma yöntemini ortaya çıkardı. Bitdefender Antivirüs Türkiye distribütörü Laykon Bilişim’in Operasyon Direktörü Alev Akkoyunlu, “Bir kullanıcının bu tür saldırılara kurban gitmesi için tek bir arama ve tıklama yeterli oluyor.” açıklamasında bulunarak kötü amaçlı reklam ağı kullanımı hakkında bilinmesi gerekenleri paylaşıyor.

Siber suçlular, gelişen teknolojiye ayak uydurarak farklı taktiklerle internet kullanıcılarının kişisel verilerine saldırmaya devam ediyor. Kimliği belirsiz hesaplar aracılığıyla bağlantı göndererek ya da kaynağı güvenilir olmayan programların indirilmesiyle tehdit yaratan siber suçlular, bu kez dikkatli kullanıcıları dahi gafil avlayacak bir yöntem geliştirdi. Bitdefender araştırmacıları tarafından ortaya çıkarılan bu yöntem, kimlik avı saldırısı düzenleyen sahte internet sitelerinin, reklam yoluyla arama motorlarında en üstte yer almasını sağlıyor. Genellikle oyun indirme veya program yükleme için kullanılan ISO dosyasının, zararlı kullanımını inceleyen araştırmacılar AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize programları için indirme sayfalarını taklit eden internet sitelerinin reklam yoluyla yayıldığını keşfetti.

Bitdefender Antivirüs Türkiye distribütörü Laykon Bilişim’in Operasyon Direktörü Alev Akkoyunlu, “Özellikle popüler internet sitelerinin ya da yazılımların adlarını taklit eden siber suçlular, normal kullanıcılar tarafından fark edilemeyecek sahte internet siteleri oluşturuyor. Bir virüs gibi çalışan bu yöntem, kullanıcının arama motorunda gördüğü siteye tek bir tıklama yapması halinde saldırıya maruz kalmasına neden oluyor. Kullanıcıların arama motorunda yer alan site isimlerinin doğru yazıldığına dikkat etmeleri ve kaynağı belirsiz sitelerden program indirmemeleri sahte sitelere karşı ilk korumayı sağlıyor.” açıklamasında bulunuyor.

Tek Bir Tıklama Yetiyor

Kötü amaçlı reklam kampanyası, ilk maruz kalmadan sonra enfeksiyon gibi yayılmaya devam ediyor. Saldırganlar, kullanıcının ağında kaldıkları sürece kimlik bilgilerini ele geçiriyor, önemli sistemlerde kalıcılık sağlıyor ve şantajla veri sızdırıyor. ISO dosyası üzerinde incelemelerde bulunan araştırmacılar, içeriğinde reklamı yapılan yazılımın yanı sıra bir Python dosyası ve zararlı yazılımlar içeren bir ZIP arşivi olduğunu da tespit etti. Python.exe işlemi tarafından yüklenen bir DLL, Meterpreter stager biçiminde kötü amaçlı kod çalıştırmak üzere ayarlanıyor ve kurbanın bilgisayarına erişim sağlıyor.