Ortaya çıkan bir kimlik avı kampanyası, Google Kariyer İşverenleri olarak maskelenerek iş arayanları hedefliyor ve kurbanları Gmail kimlik bilgilerini toplamak için tasarlanmış kötü niyetli sitelere götüren meşru e -postalar sunuyor.
Güvenlik araştırmacıları, kurbanları hassas bilgileri teslim etmek için manipüle etmek için Salesforce altyapısı, Cloudflare koruması ve Websocket komuta ve kontrolünü kullanan sofistike bir çok aşamalı saldırı ortaya çıkardılar.
Kimlik avı e -postaları sahte bir Salesforce alt alanından kaynaklanır ve özel Google kariyer fırsatlarını vaat eden konu satırlarını kullanır.
Gövde, alıcıları sahte bir Google Kariyer Uygulama Portalına yönlendiren bir “Rolü Görüntüle” düğmesi (13.110.204.9, Salesforce ASN) içerir[.]Grecruitingwise[.]com (104.21.47.163, Cloudflare ASN).
Cloudflare captcha savunmasına rağmen, site kişisel verileri yakalamak ve giriş bilgilerini almak için bir cephedir.
Tıkladıktan sonra, kullanıcılar önce tam isim, telefon numarası ve konut adresi dahil kişisel bilgiler isteyen genel bir açılış sayfasıyla karşılaşırlar.
Form, HTTP Post aracılığıyla Satoshicommands’a veri gönderir[.]com, saldırganın arka uç altyapısına bağlı bir alan. Mağdurlar daha sonra gmail adreslerini ve şifrelerini girmeleri gereken bir Google oturum açma formu olarak poz veren ikincil bir sayfaya yönlendirilir.
Perde arkasında, hileli portal, kalıcı bir websocket bağlantısı kuran Main.js’nin deforme olmuş bir sürümünü yükler. hxxps://satoshicommands.com/ ve AJAX çağrılarıyla sunucuyu her iki saniyede bir ankete katıyor /gw.php.
Sunucu, kurbanlara ardışık aşamalarda rehberlik etmek için “e-posta”, “auth” veya “başarı” gibi komutlar yayınlar: OTP gönderimi, telefon doğrulaması veya çok faktörlü kimlik doğrulama istemleri.
Kimlik bilgileri gönderildikten sonra, kullanıcılar sessizce yeniden yönlendirilmeden önce son bir “İsteğinizi İşleme” sayfası görür ve bu da uzlaşmanın farkında değildir.
OSINT araştırmaları, aylarca dayanan benzer kampanya örneklerini ortaya çıkarır, kurbanlar R/Programatik Reddit konuları ve urlScan.io ile ilgili aynı e -postaları bildirir. Keşfedilen ek kötü niyetli ana bilgisayarlar şunları içerir:
- uygula[.]Grecruitdigital[.]com
- uygula[.]grecruitbridge[.]com
- uygula[.]Galentmatcher[.]com
- uygula[.]gstaff yeteneği[.]com
- uygula[.]grecruitpro[.]com
- gcandidatespath[.]com
- Gtmairehub[.]com
- Gteamlineup[.]com
- GrecruitingLink[.]com
- Tintouchwithcareers[.]com
PUMA-RemoteJobcenter gibi Vercel App alt alanları altında dağıtılan varyantlar[.]Vercel[.]uygulama, işe alın[.]gtalenttrack[.]com ve moburst-check[.]Vercel[.]Uygulama – Saldırganlar, yayından kaldırmalardan kaçınmak için dinamik olarak kimlik avı siteleri üretiyorlar.
Kuruluşlar ve bireyler, istenmeyen işveren e -postalarına yanıt verirken uyanık kalmalıdır. Doğrulama adımları şunları içerir:
- Gönderen alan adlarını dikkatlice inceleyin ve şirket kariyer sayfalarında resmi işe alım URL’lerini onaylayın.
- Hedef ana bilgisayar adını doğrulamak için tıklamadan bağlantıların üzerine gelin.
- Captchas’ın arkasındaki sitelerde açıkça talep etmediğiniz kimlik bilgileri girmeyin.
- Gmail’de iki faktörlü kimlik doğrulamayı etkinleştirin ve beklenmedik giriş denemeleri için izleyin.
Ağ savunucuları, DNS düzeyinde bilinen kötü niyetli alanları engelleyebilir ve Salesforce alt alan sahtekarlığı bayrak etmek için e-posta-gateway çözümlerini dağıtabilir.
Düzenli tehdit-istihbarat paylaşımı ve gösterge engelleme kuralları-belirtilen alanları ve IP’lerin özetlenmesi-bu gelişen tehdidi azaltmaya yardımcı olacaktır.
Kimlik avı taktikleri güvenilir markalardan ve sağlam altyapıdan yararlanarak daha ikna edici hale geldikçe, siber güvenlik ekipleri ilk tıklamada kimlik bilgisi hasat saldırılarını durdurmak için katmanlı savunmaları ve kullanıcı farkındalık eğitimini sürdürmelidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.