Sofistike bir kimlik avı kampanyası, sahte Google kariyer işe alım fırsatları aracılığıyla iş arayanları hedeflemeyi ve Gmail kimlik bilgilerini ve kişisel bilgileri hasat etmek için sosyal mühendislik taktiklerini kullanmayı hedeflemiştir.
Kötü niyetli operasyon, kurbanları kimlik doğrulama ayrıntılarını yakalamak için tasarlanmış hileli giriş portallarına yönlendiren ikna edici işe alım e -postaları hazırlayarak Google’ın marka itibarı ile ilişkili güvenden yararlanır.
Saldırı vektörü öncelikle siber suçluların kazançlı kariyer fırsatları sunan Google İK temsilcilerini taklit ettiği e-posta tabanlı sosyal mühendisliğe dayanmaktadır.
Bu aldatıcı mesajlar, resmi görünümlü markalaşma ve gerçek Google işe alım yazışmalarını yansıtan profesyonel iletişim stilleri ile tamamlanmış, meşru görünen özenle hazırlanmış iş tanımları ve uygulama süreçleri içerir.
Siber araştırmacı G0NJXA, büyük teknoloji şirketlerini hedefleyen daha geniş kimlik bilgisi hırsızlığı operasyonlarını araştırırken bu kampanyayı belirledi.
Araştırmacının analizi, tehdit aktörlerinin birden fazla saldırı varyasyonu kullandığını, tekniklerini tespitten kaçınmaya adapte ederken, şüphesiz kurbanlara karşı yüksek başarı oranlarını koruyduğunu ortaya koydu.
Sertifika Kötüye Kullanım ve Kaçınma Teknikleri
Kötü amaçlı yazılım kampanyası, genişletilmiş doğrulama sertifikalarının birden çok platformda kötüye kullanılması yoluyla gelişmiş kaçınma yeteneklerini göstermektedir.
Tehdit aktörleri, kötü niyetli uygulamalarının ilk güvenlik tarama mekanizmalarını atlamasını sağlayan “Thomas Boulay Duval” ve “Alina Balaban” gibi isimler altında meşru Apple geliştirici kimlik sertifikaları aldı.
İmzalı DMG dosyaları, güvenlik satıcıları arasında tam olarak tespit edilmemiş tam durum elde ederek Virustotal’da tamamen tespit edilmemiş görünür.
Kötü niyetli fırlatıcıların analizi, “Thomas Boulay Duval” a karşılık gelen “Thomas.Parfums” gibi kalıpları takip ederek imzalayıcı isimlerini tanımlayıcı iplerine dahil ederek uygulamaları meşrulaştırma girişimlerini ortaya koymaktadır.
Mach-O ikili dosyaları, kimlik bilgisi hasat işlemleri için Odyssey Stealer çerçevesini kullanan uzak Applescript yüklerine bağlanan gömülü referanslar içerir.
Kampanyanın altyapısı, FranceParfumes gibi tehlikeye atılmış alanları içerir[.]IP adresinden çalışan komut ve kontrol sunucuları ile kötü amaçlı komut dosyaları barındırma 185.93.89.62.
Bu sertifikalar, Apple’ın geliştirici sertifikasyon süreci önemli zaman ve parasal maliyetleri içerdiğinden, siber suçlular için önemli finansal yatırımları temsil eder ve bu da nihai iptallerini devam eden kötü amaçlı yazılım faaliyetlerine etkili hale getirir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
