BazaCall Kimlik Avı Dolandırıcıları Artık Google Forms’u Aldatma Amaçlı Kullanıyor


13 Aralık 2023Haber odasıSiber Tehdit / Kimlik Avı Saldırısı

BazaCall Kimlik Avı

Arkasındaki tehdit aktörleri BazaCall Plana bir güvenilirlik kazandırmak için Google Formlar’dan yararlanılarak geri arama kimlik avı saldırıları gözlemlendi.

Siber güvenlik firması Abnormal Security bugün yayınlanan bir raporda, yöntemin “ilk kötü amaçlı e-postaların algılanan gerçekliğini yükseltme girişimi” olduğunu söyledi.

İlk olarak 2020’de gözlemlenen BazaCall (diğer adıyla BazarCall), meşru abonelik bildirimlerini taklit eden e-posta mesajlarının hedeflere gönderildiği, onları plana itiraz etmek veya iptal etmek veya riske girmek için bir destek masasıyla iletişime geçmeye teşvik eden bir dizi kimlik avı saldırısını ifade eder. 50 ila 500 dolar arasında herhangi bir ücret alınır.

Saldırgan, yanlış bir aciliyet duygusu uyandırarak, hedefi bir telefon görüşmesi üzerinden uzak masaüstü yazılımını kullanarak uzaktan erişim yetenekleri vermeye ikna eder ve sonuçta sözde aboneliği iptal etmek için yardım sunma kisvesi altında ana bilgisayarda kalıcılık sağlar.

Kimliğine bürünülen popüler hizmetlerden bazıları Netflix, Hulu, Disney+, Masterclass, McAfee, Norton ve GeekSquad’dır.

YAKLAŞAN WEBİNAR

Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri

Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.

Şimdi Katıl

Anormal Güvenlik tarafından tespit edilen en son saldırı çeşidinde, Google Formlar kullanılarak oluşturulan bir form, iddia edilen aboneliğin ayrıntılarını paylaşmak için bir kanal olarak kullanılıyor.

Formun, yanıtın bir kopyasını e-posta yoluyla yanıtlayana gönderen yanıt makbuzlarının etkinleştirildiğini, böylece saldırganın formu kendisinin doldurması ve yanıtları alması için bir davetiye gönderebilmesini belirtmekte fayda var.

Güvenlik araştırmacısı Mike Britton, “Saldırgan yanıt alındı ​​seçeneğini etkinleştirdiği için hedef, saldırganın Norton Antivirus yazılımı için ödeme onayı gibi görünecek şekilde tasarladığı doldurulmuş formun bir kopyasını alacak” dedi.

Yanıtların “forms-receipts-noreply@google” adresinden gönderilmesi nedeniyle Google Formlar’ın kullanımı da akıllıcadır.[.]com” güvenilir bir alan adıdır ve bu nedenle, geçen ay Cisco Talos tarafından ortaya çıkarılan yakın tarihli bir Google Forms kimlik avı kampanyasının da gösterdiği gibi, güvenli e-posta ağ geçitlerini atlama şansı daha yüksektir.

BazaCall Kimlik Avı

Britton, “Ayrıca, Google Formlar sıklıkla dinamik olarak oluşturulmuş URL’ler kullanıyor” diye açıkladı. “Bu URL’lerin sürekli değişen doğası, tehditleri tanımlamak için bilinen kalıplara dayanan statik analiz ve imza tabanlı algılamayı kullanan geleneksel güvenlik önlemlerini atlatabilir.”

Tehdit Aktörü More_eggs Arka Kapısıyla İşe Alım Yapanları Hedef Alıyor

Açıklama, Proofpoint’in işe alım uzmanlarını doğrudan e-postalarla hedef alan ve sonuçta More_eggs olarak bilinen bir JavaScript arka kapısına yol açan yeni bir kimlik avı kampanyasını ortaya çıkarmasıyla geldi.

Siber güvenlik

Kurumsal güvenlik firması, saldırı dalgasını TA4557 olarak izlediği “becerikli, finansal motivasyona sahip bir tehdit aktörüne” bağladı; bu aktör, meşru mesajlaşma hizmetlerini kötüye kullanma ve sonuçta More_eggs arka kapısını sunmak için e-posta yoluyla sahte işler sunma konusunda sicile sahip.

Proofpoint, “Özellikle yeni doğrudan e-posta tekniğini kullanan saldırı zincirinde, alıcı ilk e-postaya yanıt verdiğinde, aktörün, aday özgeçmişi gibi görünen aktör kontrollü bir web sitesine bağlantı veren bir URL ile yanıt verdiği gözlemlendi” dedi.

BazaCall Kimlik Avı

“Alternatif olarak, aktörün sahte özgeçmiş web sitesini ziyaret etme talimatlarını içeren bir PDF veya Word ekiyle yanıt verdiği gözlemlendi.”

More_eggs, hizmet olarak kötü amaçlı yazılım olarak sunuluyor ve Cobalt Group (aka Cobalt Gang), Evilnum ve FIN6 gibi diğer önde gelen siber suçlu grupları tarafından kullanılıyor. Bu yılın başlarında eSentire, kötü amaçlı yazılımı Montreal ve Bükreş’teki iki operatörle ilişkilendirdi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link