Kredi kartı bilgilerini çalmak ve finansal dolandırıcılık yapmak amacıyla Webflow İçerik Dağıtım Ağı’nda (CDN) barındırılan sahte PDF belgelerinden yararlanan yaygın bir kimlik avı kampanyası gözlenmiştir.
Netskope Tehdit Laboratuvarı araştırmacısı Jan Michael Alcantara, “Saldırgan, arama motorlarında belge aramayı hedefliyor ve kimlik avı bağlantısı ile gömülü bir captcha görüntüsü içeren kötü niyetli PDF’ye erişim sağlayarak hassas bilgiler sağlamalarına yol açıyor.” Dedi.
2024’ün ikinci yarısından bu yana devam eden etkinlik, Google gibi arama motorlarında kitap başlıkları, belgeler ve grafikler arayan kullanıcıları kullanıcıları WebFlow CDN’de barındırılan PDF dosyalarına yönlendirmek için içeriyor.
Bu PDF dosyaları, bir captcha mücadelesini taklit eden bir görüntü ile gömülü olarak gelir ve bu sefer gerçek bir Cloudflare turnikesi captcha’ya ev sahipliği yapan bir kimlik avı sayfasına götürülmesine neden olan kullanıcılara neden olur.
Bunu yaparken, saldırganlar sürece bir meşruiyet kaplaması vermeyi ve kurbanları bir güvenlik kontrolü ile etkileşime girdiklerini düşünürken, aynı zamanda statik tarayıcılar tarafından tespitten kaçınmayı kandırmayı amaçlıyor.
Orijinal Captcha Challenge’ı tamamlayan kullanıcılar daha sonra sözde belgeye erişmek için bir “İndirme” düğmesi içeren bir sayfaya yönlendirilir. Ancak, kurbanlar adımı tamamlamaya çalıştıklarında, kişisel ve kredi kartı ayrıntılarını girmelerini isteyen bir açılır mesaj sunulur.
Michael Alcantara, “Kredi kartı detayları girdikten sonra, saldırgan kabul edilmediğini belirtmek için bir hata mesajı gönderecek.” Dedi. “Mağdur kredi kartı ayrıntılarını iki veya üç kez daha gönderirse, bir HTTP 500 hata sayfasına yönlendirilecektir.”
Geliştirme, Slashnext’in, altı aylık güncelleme ve bypass teknikleri karşılığında telgraf ve siber suç pazarlarında reklamı yapılan Astaroth adlı (aynı adı taşıyan bir bankacılık kötü amaçlı yazılımıyla karıştırılmaması gereken) yeni bir kimlik avı kiti olarak geliyor.
Hizmet olarak kimlik avı (PHAA’lar) teklifleri gibi, siber dolandırıcılara popüler çevrimiçi hizmetleri taklit eden sahte giriş sayfaları aracılığıyla kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını toplama yeteneğine izin verir.
Güvenlik araştırmacısı Daniel Kelley, “Astaroth, kurbanlar arasındaki trafiği ve Gmail, Yahoo ve Microsoft gibi meşru kimlik doğrulama hizmetleri arasındaki trafiği engellemek ve manipüle etmek için EvilGinx tarzı bir ters proxy kullanıyor.” Dedi. “Ortada bir adam olarak hareket eden, giriş kimlik bilgilerini, jetonları ve oturum çerezlerini gerçek zamanlı olarak yakalar ve 2FA’yı etkili bir şekilde atlar.”