Siber güvenlik araştırmacıları, gelişmiş kimlik avı araç seti arasında endişe verici bir bağlantı tespit etti. ‘Rock yıldızı 2FA’ ve ortadaki rakip (AiTM) kimlik avı saldırılarında artış.
Bu kampanyalarda, insanları gerçek Microsoft 365 (O365) oturum açma sayfalarına çok benzeyen sahte açılış sayfalarına yönlendirmek için son derece gelişmiş yöntemler kullanılıyor. Bu sayfaların temel amacı kullanıcı kimlik bilgilerini toplamak ve Microsoft hesaplarını bu devam eden tehdidin odak noktası haline getirmektir.
Son bulgulara göre, kampanyanın öncelikli olarak Microsoft kullanıcı hesaplarını hedef almasıyla birlikte, Ağustos 2024’ten bu yana kimlik avı faaliyetlerinde önemli bir artış yaşandı.
Bu kampanyayı diğerlerinden ayıran şey, Mayıs 2024’ten bu yana bu kampanyaya bağlı araba temalı alanlarda 5.000’den fazla isabet elde edilen araba temalı web sayfalarının kullanılmasıdır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Rock yıldızı 2FA
DadSec/Phoenix kimlik avı kitinin güncellenmiş bir versiyonu olan Rockstar 2FA, PaaS modeli altında çalışarak siber suçluların kolayca erişmesini sağlıyor.
Kit, aşağıdakiler de dahil olmak üzere bir dizi özelliğe sahiptir:
- İki faktörlü kimlik doğrulama (2FA) atlaması
- 2FA çerezlerinin toplanması
- Antibot koruması
- Çoklu giriş sayfası temaları
- Rastgele kaynak kodları ve ekler
- Tamamen tespit edilemeyen (FUD) bağlantılar
- Telegram bot entegrasyonu
- Kullanıcı dostu yönetici paneli
Endişe verici bir şekilde, Rockstar 2FA, iki haftalık abonelik hizmeti için 200 ABD Doları kadar düşük bir fiyatla satılıyor.
Trustwave araştırması, “Bu kampanya, saldırganların kullanıcı kimlik bilgilerini ve oturum çerezlerini ele geçirmesine olanak tanıyan bir AiTM saldırısı kullanıyor; bu, çok faktörlü kimlik doğrulama (MFA) etkinleştirilmiş kullanıcıların bile hala savunmasız olabileceği anlamına geliyor” dedi.
Rockstar 2FA ile ilişkili kimlik avı kampanyaları, güvenliği ihlal edilmiş hesaplar ve kötüye kullanılan meşru hizmetler de dahil olmak üzere çeşitli e-posta dağıtım mekanizmalarını kullanır. Bu yöntemler güvenilir kaynaklardan geldiğinden, geleneksel filtrelerin bunları işaretleme olasılığı daha düşüktür ve bu da onları daha etkili hale getirir.
.webp)
Saldırılar, kimlik avı mesajlarında çeşitli temalar kullanarak birden fazla sektör ve bölgedeki kullanıcıları etkiledi:
- Belge ve dosya paylaşımı bildirimleri
- E-imza platformu temalı mesajlar
- İK ve bordroyla ilgili mesajlar
- MFA yemleri
- BT departmanı bildirimleri
- Şifre/hesapla ilgili uyarılar
- Sesli posta bildirimleri
Antispam tespitlerini atlatmak için tehdit aktörleri çeşitli gizleme yöntemleri, FUD bağlantıları ve hatta QR kodları kullanıyor. Kimlik avı sayfalarının otomatik analizini engellemek için açılış sayfaları, web sitelerini istenmeyen ziyaretçilerden koruyan ücretsiz bir hizmet olan Cloudflare Turnstile’ı kullanır.
Araştırmamız sırasında araştırmacılar, AiTM sunucusunda sahte içerik bulunduran kayda değer alanlar tespit etti. Bu alanlara erişim aynı zamanda tuzak sayfasını da görüntüler.
Rockstar 2FA ile ilişkili olanlar gibi emtia kimlik avı saldırıları, düşük maliyetleri ve dağıtım kolaylıkları nedeniyle yaygındır.
AiTM tekniklerini kullanan bu saldırılar, çok faktörlü kimlik doğrulama (MFA) gibi ekstra güvenlik katmanlarını aşabilir. Bu, hesap ele geçirme ve iş e-postası güvenliğinin ihlali (BEC) saldırıları gibi ikincil saldırı riskini artırır.
Rockstar liderliğindeki kimlik avı faaliyetleri devam ederken siber güvenlik uzmanları, bu PaaS’ın arkasındaki tehdit aktörlerinin muhtemelen kiti güncellemeye devam edeceği veya daha gelişmiş kimlik avı araçları geliştirerek dijital güvenliğe yönelik sürekli bir zorluk oluşturacağı konusunda uyarıyor.
Analyse Advanced Phishing Analysis With ANY.RUN Black Friday Deals : Get up to 3 Free Licenses.