Mayıs 2025’te ABD vatandaşlarını, Devlet Motorlu Taşıtlar Departmanı (DMV) ajanslarının koordineli bir taklitiyle hedefleyen gelişmiş bir kimlik avı kampanyası ortaya çıktı.
Bu büyük ölçekli operasyon, birçok eyaletteki şüpheli kurbanlardan kişisel ve finansal bilgileri toplamak için aldatıcı web altyapısı ile birleştirilmiş SMS kimlik avı tekniklerini kullanmıştır.
Saldırganlar, alıcıları hayali yasal sorunları çözmek için nominal para cezalarının derhal ödenmesini sağlayan hileli DMV web sitelerine yönlendirerek ödenmemiş ücret ihlalleri hakkında endişe verici mesajlar kullandılar.
.png
)
Kampanyanın birincil saldırı vektörü, birçoğu Filipinler’deki kökenlere kadar izlenen sahte telefon numaralarından gönderilen SMS mesajlarını içeriyordu ve gönderenler meşruiyeti artırmak için sofistike sahte tekniklerden yararlandı.
.webp)
Mağdurlar, “[State-Name] İdari Kodu 15C-16.003 ”ve derhal işlem yapılmadığı takdirde lisans askıya alma veya yasal cezalar uyarıları.
Bu mesajlar, kullanıcıları kimlik doğrulaması kisvesi altında kapsamlı kişisel bilgiler ve kredi kartı kimlik bilgileri toplamak için tasarlanmış devlet temalı kimlik avı web sitelerine yol açan kötü amaçlı bağlantıları tıklamaya yönlendirdi.
.webp)
Check Point araştırmacıları, kampanyanın dikkate değer bir teknik karmaşıklık ve ölçek gösterdiğini, FBI’nın İnternet Suç Şikayet Merkezi’nin bir ay içinde 2.000’den fazla şikayet aldığını belirtti.
Operasyonun yaygın etkisi, New York, New Jersey, Pennsylvania, Florida, Teksas ve California dahil olmak üzere birçok eyaletten resmi uyarılar başlatırken, CBS News, Fox News, The New York Post ve Time Magazine dahil olmak üzere ulusal medya kuruluşları halkın farkındalığını artırmak için kapsamlı bir kapsam sağladı.
Altyapı analizi ve ilişkilendirme
Teknik analiz, tüm kötü niyetli alanlarda ortak altyapı ve tutarlı kalıplar kullanan oldukça yapılandırılmış bir kimlik avı operasyonu ortaya koydu.
.webp)
Saldırganlar, deseni takiben öngörülebilir bir etki alanı yapısı kullandı https://[state_ID]dmv.gov-[4-letter-string].cfd/payçoğu etki alanının kötü amaçlı IP adresi 49.51.75.162’de barındırılması.
Analiz, her biri Pennsylvania (5C7B246EC5B654C6BA0C86C89BA5CBAA61D68536EFC32) ve California gibi benzersiz karma imzalara sahip farklı durumlarla eşleştirilen altı HTML dosyasını ortaya çıkardı. (5DF0FCC2B6B3D3E52FB635C0B7BAC41D27B5B75CBFEB1).
.webp)
Kampanya, Alidns.com ve dns8.alidns.com ad sunucularına işaret eden tüm alan adlarına sahip tek tip DNS altyapısı kullanırken, SOA iletişim adresi sürekli olarak gösterildi [email protected].
DOM analizi, JavaScript dosyaları (c18umyzn.js, flicexij.js), css dosyaları (c0zfn5gx.css) ve görüntü varlıkları (bhcjxi3x.gif, bkbiyrmz.svg) dahil olmak üzere aynı statik varlıklar içerdiğini ortaya koydu.
Bu varlıkların alanlar arasında yeniden kullanılması, daha önce ABD DMV’lerine karşı kullanılan “Deniz Feneri” olarak bilinen merkezi bir kimlik avı kitinin kullanımını güçlü bir şekilde gösterdi ve Çin tabanlı bir tehdit aktörüne kaynak kodunu güçlendiren Çin dilinde yorumlar.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free tria