Yakın zamanda Latin Amerika’yı hedefleyen bir kimlik avı kampanyası, “temporary.link” etki alanına sahip ücretsiz, geçici e-posta adreslerini kullanarak ve Roundcube Webmail kullanımını belirtmek için başlıktaki Kullanıcı Aracısı alanını yanıltarak, fatura gibi gizlenmiş bir HTML dosyası içeren ZIP ekleri içeren e-postalar kullandı. Kimlik avcılarının sıklıkla kötüye kullandığı ve alıcıları kötü amaçlı yazılım indirmeleri için kandırmayı amaçlayan bir platform.
Bir HTML dosyasında, doğrudan erişildiğinde, URL’nin 89.116.32.138 IP adresine çözümlendiğini gösteren, işlevsel olmayan bir sayfaya yönlendiren potansiyel olarak kötü amaçlı bir URL tanımlanır.
Süresi Dolmuş Alan Adlarıyla Kimlik Avı Şeması
TrustWave araştırması, alanın yeni olduğunu (yaklaşık bir yaşında) ve Cloudflare ad sunucularını kullandığını ortaya koyuyor. Bu alan adına kayıtlı bazı iletişim bilgileri Meksika’ya kadar uzanıyor ve bu da URL’nin meşruluğu konusunda şüphe uyandırıyor.
Saldırganlar, kimlik avı planıyla Meksika’daki kullanıcıları hedefliyor ve kurbanlar, Meksika IP’sine sahip belirli bir URL’ye erişerek, insan doğrulaması isteyen bir sayfaya yönlendiriliyor.
Doğrulama adımı, kurbanın makinesinden bilgisayarın adı, işletim sistemi ve antivirüs varlığı dahil olmak üzere bilgi toplamak için tasarlanmış bir PowerShell betiği içeren kötü amaçlı bir RAR arşivinin indirilmesine yol açar.
Komut dosyası ayrıca, kodu çözüldüğünde potansiyel olarak ek kötü amaçlı yazılımların indirilmesi de dahil olmak üzere başka kötü amaçlı eylemler başlatan kodlanmış URL’ler de içerir.
Base64 dizesiyle kodlanmış kötü amaçlı bir web sitesi, kullanıcının ülkesini bir URL (hxxp) aracılığıyla tanımlamaya çalışır.[://]86[.]38[.]217[.]167/ps/indeks[.]PHP), önceki “Horabot” kampanyalarına benzer daha büyük bir kampanyanın parçası olabilir.
Başka bir kodlanmış dize, kötü amaçlı bir URL’ye (hxxps[://]www[.]posta kutusu[.]com/scl/fi/k6hxua7lwt1qcgmqou6q3/m[.]Zip?rlkey=7wu6x4pfvbt64atx11uqpk34l&dl=1), yeni oluşturulan yürütülebilir bir AutoIt dosyası da dahil olmak üzere şüpheli dosyalar içeren bir ZIP arşivini indirir ve olası kötü amaçlı etkinlikleri önerir.
Kimlik avı kampanyaları, algılamayı atlamak için sıkıştırılmış ekler, gizlenmiş kod, PowerShell komut dosyaları ve coğrafi hedefli içeriğe sahip yeni oluşturulan etki alanlarını içeren giderek daha karmaşık teknikler kullanıyor.
Teknikler, kötü amaçlı e-postaların, özellikle de erişilemez veya askıya alınmış sayfalar gibi görünen ekler veya bağlantılar içeren e-postaların tanımlanmasını zorlaştırır.
TrustWave’e göre, bu tür kampanyalarda tanımlanan bazı IoC’ler şunlardır: hxxps://facturasmex.cloud, hxxps://facturas.co.in/index.php?va, hxxp://ad2.gotdns.ch/22/22, hxxp://86.38.217.167/ps/index.php. Kullanıcılar bu özelliklere sahip e-postalara karşı dikkatli olmalı, ekleri açmaktan veya bağlantılara tıklamaktan kaçınmalıdır.
Secure your emails in a heartbeat! Take Trustifi free 30-second assessment and get matched with your ideal email security vendor - Try Here