Araştırmacılar, Telegram üzerinden satın alınabilen ONNX Store adlı hizmet olarak kimlik avı platformuna dayanan yeni bir kimlik avı kampanyası keşfettiler. ONNX Mağazası, halihazırda mevcut olan Caffeine adlı kimlik avı kitinin yeniden markalanmış bir versiyonu gibi görünüyor. Kitler altyapıyı paylaşıyor ve aynı Telegram kanallarında tanıtılıyor.
Kimlik avı kampanyası, PDF eklerine yerleştirilmiş QR kodlarıyla finansal kurumları hedef alıyor. Kurbanlar bu kodları telefonlarıyla taradıklarında, oturum açma bilgilerini ve iki faktörlü kimlik doğrulama anahtarlarını toplamak için tasarlanmış sahte oturum açma sayfalarına yönlendiriliyorlar.
ONNX Mağazası Kimlik Bilgilerinin Gerçek Zamanlı Hırsızlığına Olanak Sağlıyor
ONNX Mağazası, özel kimlik avı sayfaları, web posta sunucuları, 2FA çerez hırsızları ve mağdurları kimlik avı açılış sayfalarına yönlendirmek için güvenilir alanları kullanan “tamamen tespit edilemeyen” yönlendirme hizmetleri dahil olmak üzere siber suçluları desteklemek için tasarlanmış çeşitli güçlü kimlik avı araçları sunar.
EclecticIQ araştırmacıları, ONNX Mağazası kimlik avı kitini kullanan tehdit aktörlerinin, kimlik avı e-postalarında PDF dosyalarını ek olarak dağıtma eğiliminde olduğunu fark etti. Saygın bir hizmetin kimliğine bürünen bu belgeler, kurbanları kötü amaçlı kimlik avı açılış sayfalarına yönlendiren bir QR kodu içerir. “Susturma” olarak bilinen bu taktik, çalışanların genellikle korumasız bırakılan kişisel mobil cihazlarındaki tespit veya önleme eksikliğinden yararlanır. Mobil cihazlardaki koruma eksikliği de bu tehditlerin izlenmesini zorlaştırıyor.
Kimlik avı açılış sayfaları, sık HTTP isteklerine gerek kalmadan çalınan verilerin gerçek zamanlı yakalanmasına ve iletilmesine olanak tanıyan Ortadaki Düşman (AiTM) yöntemini kullanarak hassas kimlik bilgilerini çalmayı amaçlıyor. Bu, kimlik avı operasyonunu daha verimli hale getirir ve tespit edilmesini zorlaştırır.
ONNX Mağaza Kimlik Avı Kiti, sayfa yüklendiğinde kendi şifresini çözen şifrelenmiş JavaScript kodunu kullanır ve temel bir JavaScript karşıtı hata ayıklayıcı içerir. Bu, kimlik avı tarayıcılarına karşı bir koruma katmanı ekler ve algılamayı zorlaştırır. Şifresi çözülen JavaScript kodu daha sonra tarayıcı adı, IP adresi ve konum gibi ayrıntılar da dahil olmak üzere kurbanların ağ meta verilerini toplar.
Şifresi çözülen JavaScript kodu, kurbanlar tarafından girilen 2FA tokenlarını çalmak için tasarlandı. Bu, saldırganların tipik 2FA korumasını atlamalarına ve kurbanın hesabının süresi dolmadan önce yetkisiz erişim elde etmelerine olanak tanır.
Araştırmacılar, ONNX Mağazası kimlik avı kiti tarafından dağıtılan çeşitli altyapılarda alan adı tescil ettiren ve SSL veren kuruluş arasında benzerlikler tespit etti. Bu benzerlikler, kampanyayı barındırmak için kurşun geçirmez barındırma hizmetlerinin kullanıldığını gösteriyordu.
Araştırmacılar ONNX Mağazasının Kafein Kitinin Yeniden Markalanması Olduğuna İnanıyor
Araştırmacılar, ONNX Mağazası kimlik avı kitinin muhtemelen Kafein kimlik avı kitinin yeniden markalanmış hali olduğunu değerlendirdi. Bu değerlendirme, aynı Telegram kanallarındaki altyapı ve reklamlardaki önemli örtüşmelere dayanmaktadır. Bu örtüşme, Arapça konuşan tehdit aktörü MRxC0DER’in Kafein kitinin arkasındaki olası geliştirici ve bakımcı olarak dahil edilmesini içeriyor.
Platformun yeniden markalanması, kötü niyetli aktörlerin operasyonel güvenliğini artırmaya odaklanmış gibi görünüyor. ONNX Mağazası hizmeti, tehdit aktörlerinin tek bir web sunucusu yerine müşterilere yardımcı olacak ek bir destek kanalıyla Telegram botları aracılığıyla operasyonları kontrol etmesine olanak tanıyor. Altyapı ve yönetimdeki bu değişiklik, platformun kimlik avı etki alanlarının ortadan kaldırılmasını daha da zorlaştırıyor.
ONNX Store, dayanıklılığını daha da artırmak için kimlik avı etki alanlarının kaldırılma sürecini geciktirmek amacıyla Cloudflare hizmetlerini kullanıyor. Cloudflare’in CAPTCHA özelliğinin ve IP proxy’sinin bu şekilde kötüye kullanılması, saldırganların kimlik avı web tarayıcıları ve URL korumalı alanları kullanarak tespit edilmekten kaçınmasına yardımcı olur. Bu uygulama aynı zamanda orijinal ana bilgisayarı gizler ve kimlik avı alan adlarının devre dışı bırakılmasını daha da zorlaştırır.
“Her şeye izin var” ve “Tüm kötüye kullanım raporlarını görmezden gelin” gibi sloganlarla reklamı yapılan bu hizmetler, engellenme riski olmadan çok çeşitli yasa dışı faaliyetleri desteklemek ve siber suçlular için güvenli bir sığınak oluşturmak üzere tasarlandı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.