Arkasındaki tehdit aktörleri BazaCall Plana bir güvenilirlik kazandırmak için Google Formlar’dan yararlanılarak geri arama kimlik avı saldırıları gözlemlendi.
Siber güvenlik firması Abnormal Security bugün yayınlanan bir raporda, yöntemin “ilk kötü amaçlı e-postaların algılanan gerçekliğini yükseltme girişimi” olduğunu söyledi.
İlk olarak 2020’de gözlemlenen BazaCall (diğer adıyla BazarCall), meşru abonelik bildirimlerini taklit eden e-posta mesajlarının hedeflere gönderildiği, onları plana itiraz etmek veya iptal etmek veya riske girmek için bir destek masasıyla iletişime geçmeye teşvik eden bir dizi kimlik avı saldırısını ifade eder. 50 ila 500 dolar arasında herhangi bir ücret alınır.
Saldırgan, yanlış bir aciliyet duygusu uyandırarak, hedefi bir telefon görüşmesi üzerinden uzak masaüstü yazılımını kullanarak uzaktan erişim yetenekleri vermeye ikna eder ve sonuçta sözde aboneliği iptal etmek için yardım sunma kisvesi altında ana bilgisayarda kalıcılık sağlar.
Kimliğine bürünülen popüler hizmetlerden bazıları Netflix, Hulu, Disney+, Masterclass, McAfee, Norton ve GeekSquad’dır.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Anormal Güvenlik tarafından tespit edilen en son saldırı çeşidinde, Google Formlar kullanılarak oluşturulan bir form, iddia edilen aboneliğin ayrıntılarını paylaşmak için bir kanal olarak kullanılıyor.
Formun, yanıtın bir kopyasını e-posta yoluyla yanıtlayana gönderen yanıt makbuzlarının etkinleştirildiğini, böylece saldırganın formu kendisinin doldurması ve yanıtları alması için bir davetiye gönderebilmesini belirtmekte fayda var.
Güvenlik araştırmacısı Mike Britton, “Saldırgan yanıt alındı seçeneğini etkinleştirdiği için hedef, saldırganın Norton Antivirus yazılımı için ödeme onayı gibi görünecek şekilde tasarladığı doldurulmuş formun bir kopyasını alacak” dedi.
Yanıtların “forms-receipts-noreply@google” adresinden gönderilmesi nedeniyle Google Formlar’ın kullanımı da akıllıcadır.[.]com” güvenilir bir alan adıdır ve bu nedenle, geçen ay Cisco Talos tarafından ortaya çıkarılan yakın tarihli bir Google Forms kimlik avı kampanyasının da gösterdiği gibi, güvenli e-posta ağ geçitlerini atlama şansı daha yüksektir.
Britton, “Ayrıca, Google Formlar sıklıkla dinamik olarak oluşturulmuş URL’ler kullanıyor” diye açıkladı. “Bu URL’lerin sürekli değişen doğası, tehditleri tanımlamak için bilinen kalıplara dayanan statik analiz ve imza tabanlı algılamayı kullanan geleneksel güvenlik önlemlerini atlatabilir.”
Tehdit Aktörü More_eggs Arka Kapısıyla İşe Alım Yapanları Hedef Alıyor
Açıklama, Proofpoint’in işe alım uzmanlarını doğrudan e-postalarla hedef alan ve sonuçta More_eggs olarak bilinen bir JavaScript arka kapısına yol açan yeni bir kimlik avı kampanyasını ortaya çıkarmasıyla geldi.
Kurumsal güvenlik firması, saldırı dalgasını TA4557 olarak izlediği “becerikli, finansal motivasyona sahip bir tehdit aktörüne” bağladı; bu aktör, meşru mesajlaşma hizmetlerini kötüye kullanma ve sonuçta More_eggs arka kapısını sunmak için e-posta yoluyla sahte işler sunma konusunda sicile sahip.
Proofpoint, “Özellikle yeni doğrudan e-posta tekniğini kullanan saldırı zincirinde, alıcı ilk e-postaya yanıt verdiğinde, aktörün, aday özgeçmişi gibi görünen aktör kontrollü bir web sitesine bağlantı veren bir URL ile yanıt verdiği gözlemlendi” dedi.
“Alternatif olarak, aktörün sahte özgeçmiş web sitesini ziyaret etme talimatlarını içeren bir PDF veya Word ekiyle yanıt verdiği gözlemlendi.”
More_eggs, hizmet olarak kötü amaçlı yazılım olarak sunuluyor ve Cobalt Group (aka Cobalt Gang), Evilnum ve FIN6 gibi diğer önde gelen siber suçlu grupları tarafından kullanılıyor. Bu yılın başlarında eSentire, kötü amaçlı yazılımı Montreal ve Bükreş’teki iki operatörle ilişkilendirdi.