arama

Kovter, Sahte Web Tarayıcı

Chrome ve Firefox aracılığıyla bu sayfaya gelen kullanıcılardan ise bir tarayıcı güncellemesi indirmeleri isteniyor.
  • paylaş
  • paylaş
  • paylaş
  • paylaş
  • paylaş
  • Bilgi PortaLı Bilgi PortaLı

Kovter, Sahte Web Tarayıcı Ve Flash Güncellemesiyle Yayılıyor

Dünyada en çok ziyaret edilen porno sitelerindeki açıkları kullanarak, özellikle reklamlara yerleşen Kovter zararlısı, sahte web tarayıcı ve Flash Player güncellemesi kurarak mobil cihazlar ve bilgisayarlarda ciddi tehlikeler yaratıyor.

Güvenlik araştırmacıları tarafından KovCoreG olarak adlandırılan ve (kötü amaçlı) reklamcılık ile uğraşan grup, sahte web tarayıcı ve sahte Flash güncellemeleri kullanarak, kullanıcıları Kovter adlı zararlı yazılımı yüklemeleri için kandırıyor.

Hackerlar, kullanıcıları acil bir güncelleme reklamını veren aldatıcı bir web sitesine yönlendirmek için PornHub‘da kötü amaçlı reklamları kullandılar. Kullanıcılar, kullandıkları tarayıcılara göre farklı mesajlar alıyor.

Örneğin, IE ve Edge kullanıcılarından bir Flash güncellemesi indirmeleri istenirken, Chrome ve Firefox aracılığıyla bu sayfaya gelen kullanıcılardan ise bir tarayıcı güncellemesi indirmeleri isteniyor.

 

İndirilebilir dosyalar; malware, ransomware, infostealers ve daha fazlasını sunabilen çok amaçlı bir yazılım indiricisi olan Kovter’i yükleyen JavaScript (Chrome, Firefox) veya HTA (IE, Edge) dosyalarıdır.

Kampanya İngiltere, ABD, Kanada ve Avustralyalılar Üzerine Yoğunlaştı

 

Proofpoint araştırmacıları, reklam kampanyasını keşfetti ve reklamları istismar edilen PornHub ve Traffic Junky‘i haberdar etti. Her iki şirketinde müdahalesi sonucu reklamlar durduruldu ancak araştırmacılar, grubun çevrimiçi olarak başka bir yerde çıkmasını bekliyor.

 

KovCoreG, saldırmak istedikleri kullanıcıları ayırmak için ISP ve coğrafi tabanlı filtreler kullandı. PornHub kampanyası, ABD, İngiltere, Kanada ve Avustralya‘daki kullanıcıları hedef aldı.

 

Araştırmacılar bu kampanya hakkında merak uyandırıcı bir şey kaydetti… İndirilen dosyalar (JavaScript ve HTA dosyaları) bilgisayarın IP adresi aynı ISS’yi ve coğrafi filtreyi geçmediyse çalıştırılamıyor. İkinci denetimin amacı büyük ihtimalle güvenlik araştırmacılarının analizini sınırlamak için yapılmış.

 

Proofpoint araştırmacıları tarafından hazırlanan rapora buradan ulaşabilirsiniz.