Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Kovter, sahte web tarayıcı ve Flash güncellemesiyle yayılıyor

0

Güvenlik araştırmacıları tarafından KovCoreG olarak adlandırılan ve (kötü amaçlı) reklamcılık ile uğraşan grup, sahte web tarayıcı ve sahte Flash güncellemeleri kullanarak, kullanıcıları Kovter adlı zararlı yazılımı yüklemeleri için kandırıyor.

Hackerlar, kullanıcıları acil bir güncelleme reklamını veren aldatıcı bir web sitesine yönlendirmek için PornHub‘da kötü amaçlı reklamları kullandılar. Kullanıcılar, kullandıkları tarayıcılara göre farklı mesajlar alıyor.

Örneğin, IE ve Edge kullanıcılarından bir Flash güncellemesi indirmeleri istenirken, Chrome ve Firefox aracılığıyla bu sayfaya gelen kullanıcılardan ise bir tarayıcı güncellemesi indirmeleri isteniyor.

 

İndirilebilir dosyalar; malware, ransomware, infostealers ve daha fazlasını sunabilen çok amaçlı bir yazılım indiricisi olan Kovter’i yükleyen JavaScript (Chrome, Firefox) veya HTA (IE, Edge) dosyalarıdır.

Kampanya İngiltere, ABD, Kanada ve Avustralyalılar Üzerine Yoğunlaştı

Proofpoint araştırmacıları, reklam kampanyasını keşfetti ve reklamları istismar edilen PornHub ve Traffic Junky‘i haberdar etti. Her iki şirketinde müdahalesi sonucu reklamlar durduruldu ancak araştırmacılar, grubun çevrimiçi olarak başka bir yerde çıkmasını bekliyor.

KovCoreG, saldırmak istedikleri kullanıcıları ayırmak için ISP ve coğrafi tabanlı filtreler kullandı. PornHub kampanyası, ABD, İngiltere, Kanada ve Avustralya‘daki kullanıcıları hedef aldı.

Araştırmacılar bu kampanya hakkında merak uyandırıcı bir şey kaydetti… İndirilen dosyalar (JavaScript ve HTA dosyaları) bilgisayarın IP adresi aynı ISS’yi ve coğrafi filtreyi geçmediyse çalıştırılamıyor. İkinci denetimin amacı büyük ihtimalle güvenlik araştırmacılarının analizini sınırlamak için yapılmış.

Proofpoint araştırmacıları tarafından hazırlanan rapora buradan ulaşabilirsiniz.

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.