“Microsoft” şirkəti “Google” reklamlarından istifadə edərək virus yayan hakerləri aşkar edib
“Microsoft” şirkəti, “Royal Ransomware” proqramını yaymaq üçün “Google” reklamlarından istifadə edən hakerlər barədə xəbərdarlıq edir.
Azərbaycan Xüsusi Rabitə və Informasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter Insidentlərinə Qarşi Mübarizə Mərkəzinə istinadən verdiyi xəbərə görə, 2022-ci ilin oktyabr ayının sonunda yenilənmiş zərərli proqramların ötürülmə metodunu aşkar edən “Microsoft”, DEV-0569 adlı qrupu izləyir.
Yeni kəşf edilmiş “Royal Ransomware” proqramı da daxil olmaqla, müxtəlif post-kompromis faydalı yükləri yaymaq üçün kampaniyalarından birində “Google” reklamlarından istifadə edən təkmilləşmiş təhdid fəaliyyəti klasteri aşkar edilib.
“Microsoft” Təhlükəsizlik Təhdid Kəşfiyyatı qrupunun təhlilinə görə, müşahidə olunan DEV-0569 hücumları, yeni aşkarlama metodlarının müntəzəm tətbiqi, müdafiədən yayınma və müxtəlif post-kompromis faydalı yükləri, artan fırıldaqçı proqram dəstəyi ilə yanaşı daimi innovasiya tendensiyasını göstərir.
“Məlumdur ki, fırıldaqçılar qurbanları Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams və Zoom kimi qanuni proqramlar üçün proqram quraşdırıcıları kimi təqdim edən zərərli proqram yükləmə linklərinə yönəltmək üçün zərərli reklamlardan istifadə edir. Zərərli proqram yükləyicisi, BATLOADER olaraq adlandırılan ştamm, növbəti mərhələdə faydalı yükləri paylamaq üçün kanal kimi fəaliyyət göstərən zərərli proqramdır. ZLoader adlı başqa bir zərərli proqramla üst-üstə düşdüyü müşahidə olunub.
“ESentire” və “VMware” tərəfindən BATLOADER-in son təhlili zərərli proqram təminatının gizliliyini və davamlılığını və istifadəçiləri sındırılmış veb-saytlardan və ya fırıldaqçılar tərəfindən yaradılmış domenlərdən zərərli proqram yükləməyə sövq etmək üçün axtarış sisteminin optimallaşdırılmasından (SEO) istifadə edildiyini aşkar edib. Alternativ olaraq, fişinq linkləri spam e-poçtları, saxta forum səhifələri, blog şərhləri və hətta hədəf təşkilatların veb-saytlarında mövcud olan əlaqə formaları vasitəsilə paylaşılır”, – məlumatda deyilir.
Texnologiya nəhəngi bildirdi ki, DEV-0569 PowerShell və toplu fayllardan istifadə edərək müxtəlif zərərverici zəncirlərdən istifadə etdi, bu da nəticədə məlumat oğruları və ya şəbəkədə saxlamaq üçün istifadə olunan qanuni uzaqdan idarəetmə vasitəsi kimi zərərli proqramların yüklənməsinə səbəb oldu.
“İdarəetmə aləti həm də fırıldaqçı proqramları hazırlamaq və yaymaq üçün qaynar nöqtə ola bilər. O, həmçinin yüksək səviyyəli proqramları işə salmaq və antivirus həllərini deaktiv etmək üzrə nəzərdə tutulmuş reyestr dəyərlərini əlavə etməklə mühafizəni zəiflətmək üçün NSudo adlı alətdən istifadə edir”, – deyə açıqlamada deyilir.