Cyjax’taki güvenlik araştırmacıları, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak ve reklam geliri elde etmek için 42.000 kadar kimlik avı alanı kullandığı oldukça gelişmiş ve büyük ölçekli bir kimlik avı kampanyasını ortaya çıkardı.
Kampanya Ayrıntıları
Cyjax araştırmacıları, tehdit aktörlerinin Çin ile bağlantıları olduğunu ve 2017’den beri aktif olduklarını kaydetti. Fangxiao grubu olarak tanımlanan saldırganlar şimdiye kadar bankacılık, perakende, seyahat, ulaşım, ilaç, enerji ve finans sektörleri.
Grup, ünlü markaları taklit etmek için kullanılan 42.000 alan adından oluşan kapsamlı bir ağ işletmektedir. En son kampanyaları, trafik için ödeme yapan kullanıcılardan gelir elde etmeyi amaçlıyor. Mart 2022’den bu yana saldırganlar tarafından bu dolandırıcılığı desteklemek için en az 24.000 anket/iniş alanı kullanıldı.
Saldırı Nasıl Çalışır?
Fangxiao, bir ödül kazandıklarını bildirerek, WhatsApp mesajlaşma yoluyla şüphelenmeyen kullanıcıları kötü niyetli alanlara çekiyor. Kullanıcılar, bağlı kuruluş bağlantıları, reklam yazılımları ve eşantiyon siteleri aracılığıyla sahte tanışma sitelerine, Amazon’a yönlendirilir. Bu siteler kullanıcıya yeterince inandırıcı görünmektedir. Bu marka kimliğine bürünme kampanyası, McDonald’s, Unilever, Emirates, Knorr ve Coca-Cola gibi tanınmış isimleri taklit ediyor.
Ziyaretçiler orijinal marka sitelerinin sahte versiyonuna eriştiğinde, sahte anketler yoluyla para kazanmak için Fangxiao tarafından oluşturulan reklam sitelerine yönlendiriliyor ve kurbanın anketi tamamladığında bir ödül kazanacağına söz veriyor. Bazen, kurban Kaydı Tamamla düğmesini tıkladığında, saldırgan Triada kötü amaçlı yazılımını cihaza indirilmeye zorlayabilir.
Alakalı haberler
- Marka Koruması Siber Güvenlik İçin Esastır
- Kimlik avı dolandırıcılıklarında Microsoft, PayPal ve Facebook en çok hedef alınan markalar
- Microsoft Azure tarafından barındırılan en iyi 240 alt alan, kötü amaçlı yazılım yaymak için saldırıya uğradı
- Yüzlerce sahte markalı ayakkabı mağazası web skimmer ile hacklendi
Cyjax’ın raporunda (PDF), “Kurbanlar, ‘ödüllerini’ almaya hevesli olarak dolandırıcılığa yatırım yaptıklarından ve site onlara uygulamayı indirmelerini söylediğinden, bu muhtemelen önemli sayıda enfeksiyona neden oldu” dedi (PDF).
Etki Alanı Analizi
Grup, 2019’da GoDaddy, Namecheap ve Wix aracılığıyla kaydedilen 42.000 alan adını kullanıyor. Altyapıları Cloudflare ile korunmaktadır ve alan adları düzenli olarak değişmektedir.
Bildirildiğine göre, grup Ekim ayında bir günde 300 yeni marka alan adı kullandı. Bu nedenle, sürekli gelişen bir para kazanma dolandırıcılığı gibi görünüyor. Araştırmacılar, alan adının anonim hale getirilmesi, Cloudflare güvenliğinin atlanması ve IP adresinin keşfedilmesinden sonra bu dolandırıcılık kampanyasının arkasındaki tehdit aktörünü belirleyebilir.
IP adresinin 2020’den beri faaliyet gösteren bir Fangxiao sitesini barındırdığını ve sayfaların Mandarin dilinde yazıldığını öğrendiler. Fangxiao TL’nin sertifikalarını buldular ve saldırganların kurbanları talep etmek için WhatsApp’ı kullandıklarını belirlediler. Bu, Çin dışındaki insanları hedef aldıkları anlamına gelir.
Daha Fazla Kimlik Avı Haberi
- Giriş Verilerini Çalmak İçin FB Messenger Sohbet Robotlarını Kullanan Dolandırıcılar
- Zoom Kimlik Avı Dolandırıcılığı Microsoft Exchange Kimlik Bilgilerini Çalıyor
- Kimlik Avı Saldırılarında Microsoft Ekibi GIF’lerinden Yararlanan Dolandırıcılar
- ‘Önemli Bildirim’ Kimlik Avı Dolandırıcılığı American Express Kullanıcılarını Vurdu
- Google Drive kullanılarak yapılan yeni kimlik avı saldırısında hedeflenen araştırma sektörü