Bilgisayar korsanları, gizli kötü amaçlı yazılım sunmak için e -posta pazarlama platformlarından yararlanıyor

   Eylül 1, 2025  Posted in GBHackers


Son aylarda, tehdit istihbaratı ve olay müdahale hizmetleri ile tanınan bir seviye yuvası şirketi olan Trustwave SpiderLabs, meşru e -posta pazarlama platformlarından kötü niyetli bağlantılardan yararlanan kimlik avı kampanyalarında belirgin bir artış gözlemledi.

Saldırganlar, yerleşik altyapı ve URL yönlendiricilerini ele geçirerek geleneksel savunmalardan kaçıyor ve alıcıları hassas bilgileri ifşa etmek için alıyorlar.

Bu gelişen taktiklerle mücadele etmek için Trustwave, makine öğrenimini ve derin öğrenmeyi kural tabanlı bir çerçeve ile birleştiren hibrit bir URL tarama sistemi olan Pageml’i işletiyor.

Pageml, bir hedefin kötü niyetli veya iyi huylu olup olmadığını tahmin ederek URL yapısını ve web sayfası içeriğini gerçek zamanlı olarak analiz eder.

Sofistike olmasına rağmen, son kampanyalar, rakipler güvenilir alanların ve çoklu yeniden yönlendirmenin arkasına saklandıkça Pageml’in sınırlarını test etti.

Kimlik avı vektörleri olarak e -posta pazarlama platformları

Klaviyo tıklama istismarı

Göze çarpan bir örnek Klaviyo’nun tıklama izleme alanını kullanır, klclick3.com. Saldırganlar kimlik avı e -postaları – genellikle “yeni sesli mesaj” gibi konularla – ile başlayan bağlantılar içeren https://ctrk.klclick3.com.

Sesli mesajı yem olarak kullanan kimlik avı e -posta örneğinin ekran görüntüsü.
Sesli mesajı yem olarak kullanan kimlik avı e -posta örneğinin ekran görüntüsü.

Bir sesli mesaj bildirimi olarak maskelenen örnek bir URL, sonuçta yönlendiriyor klclick3.com Ismarlama bir kimlik avı sayfasına. Bu son sayfa, kurbanın şirket logosunu Clearbit aracılığıyla dinamik olarak getirir ve analizi engellemek için sağ tıklama işlevselliğini devre dışı bırakır.

Drip Global’ın İzleme Etki Alanı Kötüye Kullanımı

Benzer şekilde, Drip Global’ın İzleme Etki Alanı Kullanarak Docusign Gömme Bağlantılarını Kişiselleştiren Kimlik Yardım E -postaları dripemail2.com.

Bağlantıyı tıklamak Drip’in etki alanı üzerinden sahte bir Microsoft güvenlik sayfasına. Gömülü Base64 kodlu parametreler, kimlik bilgisi hasat giriş formlarına daha fazla yönlendirmeyi gizler.

İlk kimlik avı URL yeniden yönlendirmesinin Creenshot'u.
İlk Kimlik Yardım URL’nin yeniden yönlendirmesinin Creenshot.

Benzersiz bir şekilde, keşif sırasında sadece Trustwave’in taraması, Pageml’in erken tehdit tanımlamasındaki değerinin altını çizen Virustotal’daki bu kötü niyetli yönlendirmeleri tespit etti.

Report’a göre, TrustWave SpiderLabs, bu aldatıcı tehditlerden bir adım önde kalmak için algılama yeteneklerini geliştirmeye ve eyleme geçirilebilir zekayı paylaşmaya kararlıdır.

Bulut Altyapı Ortaklığı

Amazon S3 Yeniden Yönlendirme

E -posta pazarlama platformlarının ötesinde, tehdit aktörleri kimlik avı sayfalarına hizmet etmek için bulut barındırma hizmetlerine yöneldi.

Yanıtlama başlığı ayrıca şirketle ilgili olmayan farklı bir e-posta adresi içerir.

Bir kampanyada, ödeme havaleleri olduğu iddia edilen kötü niyetli e -postalar, *.s3.us-east-1.amazonaws.com.

Bu S3 barındırılmış sayfalar, gömülü Cloudflare turnikesi zorlukları ve AJAX tabanlı kimlik bilgisi yakalama ile tamamlanan Roundcube Webmail Giriş formlarını taklit eder.

Bir Roundcube Web Emniyet Giriş sayfasını taklit eden kimlik avı URL'sinin ekran görüntüsü.
Bir Roundcube Web Emniyet Giriş sayfasını taklit eden kimlik avı URL’sinin ekran görüntüsü.

Amazon Web Hizmetlerinin bu tür kötüye kullanılması sadece aldatmacaya güvenilirlik vermekle kalmaz, aynı zamanda yayından kaldırma çabalarını da karmaşıklaştırır.

Captcha ile birlikte uzlaşılmış alanlar

Saldırganlar ayrıca meşru kurumsal alanlardan ödün vermeye devam ediyor. Örneğin, airswift.ae“Güvenli Belge” kimlik avı sayfasına ev sahipliği yapan gerçek bir yük hizmetleri sitesi bulundu.

Ziyaretçilere, tamamen gizlenmiş, sahte bir Microsoft oturum açma sayfasına iletilmeden önce bir Cloudflare captcha ile sunulur.

Hakimler, iyi huylu içerik, captcha zorlukları ve katmanlı yönlendirmeleri sergileyerek, rakipler algılamayı daha da geciktirir ve otomatik analizi dondurur.

Bu kampanyalar, kimlik avı stratejilerindeki açık bir değişimi göstermektedir:

  • Kullanılmak Güvenilir Platformlar: E-posta pazarlama ve bulut barındırma hizmetlerini ele geçirerek, saldırganlar sağlam itibarları ve geniş teslim edilebilirliğe sahip alanlarda piggyback.
  • Çok aşamalı yönlendirmeler: Katmanlı URL’nin gömülmesi nihai hedefleri gizler ve statik tespiti engeller.
  • Dinamik İçerik Enjeksiyonu: Bukalemun tarzı komut dosyaları, kimlik avı sayfalarını kurbana özgü logolarla uyarlar ve tipik tarayıcı etkileşimlerini devre dışı bırakır.
  • CAPTCHA üzerinden Kaçınma: Cloudflare Turnstile ve benzer hizmetler, otomatik tarayıcıları durduran insani doğrulama adımlarını artırmak için istismar edilmektedir.

Kuruluşlar, çok katmanlı bir yaklaşım benimseyerek bu büyüyen tehditleri azaltabilir:

  1. Gelişmiş URL analizi: Pageml gibi hem yönlendirme zincirlerini hem de sayfa içeriğini inceleyen gerçek zamanlı, davranışsal URL tarama sistemlerini dağıtın.
  2. E -posta Platformu İzleme: Üçüncü taraf pazarlama alanlarını kullanarak giden bağlantılardaki beklenmedik artışları izleyin ve katı izin listeleri uygulayın.
  3. Kullanıcı Farkındalık Eğitimi: Çalışanları gelişen kimlik avı yemleri, özellikle de tanıdık hizmetler olarak maskelenenler konusunda eğitin.
  4. Bulut hizmeti incelemesi: Olağandışı kalıplar veya yönlendirmeler için ortak bulut barındırma uç noktalarına organizasyonel trafiği izleyin.

Kimlik avı kampanyaları her zamankinden daha sofistike hale geldikçe, eski hileleri – tehlikeye atılan alanlar gibi – yeni kaçak taktikleriyle birleştirerek, organizasyonların sürekli uyum sağlaması gerekir.

Trustwave SpiderLabs, bu aldatıcı tehditlerin bir adım önünde kalmak için algılama yeteneklerini ve eyleme geçirilebilir zekayı paylaşmaya kararlı olmaya devam ediyor.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link