
Siber suçlular, sofistike kimlik avı kampanyaları başlatmak için meşru e -posta pazarlama platformlarından giderek daha fazla yararlanıyor ve bu hizmetlerin güvenlik filtrelerini atlamak ve kurbanları aldatmak için bu hizmetlerin güvenilir itibarından yararlanıyor.
Bu ortaya çıkan tehdit vektörü, saldırganların kötü niyetli niyetlerini maskelemek için yerleşik e-posta pazarlama şirketleri tarafından sağlanan tıklama izleme alanlarını ve URL yönlendirme hizmetlerini kötüye kullandıkları kimlik avı taktiklerinde önemli bir evrimi temsil eder.
Kampanyalar, kullanıcı etkileşimlerini pazarlama e-postalarıyla izlemek için tasarlanmış meşru tıklama hizmetleri olan Klaviyo’nun ‘Klclick3.com’ ve Drip Global’ın ‘DipeMail2.com’ alanları gibi platformları kullanıyor.
Saldırganlar, kötü amaçlı URL’leri bu güvenilir alanlar aracılığıyla yönlendirerek, kimlik avı e -postalarının geleneksel güvenlik sistemleri tarafından algılamadan kaçmasına yardımcı olan bir meşruiyet kaplaması oluştururlar.
Teknik özellikle sinsidir, çünkü kullanıcıların tanınmış pazarlama platformlarında yer aldığı güvenden yararlanmaktadır.
Son analizler, bu kampanyaların sahte sesli mesaj bildirimleri, docuSign belge istekleri ve ödeme ile ilgili mesajlar da dahil olmak üzere genellikle sofistike yemler kullandığını ortaya koymaktadır.
.webp)
Saldırganlar, geleneksel kimlik avı tekniklerini CAPTCHA doğrulaması, tehlikeye atılmış alanlar ve Amazon Web Services ve Cloudflare gibi bulut hizmetlerinin kötüye kullanılması gibi modern kaçırma yöntemleriyle birleştirerek dikkate değer bir uyarlanabilirlik gösterir.
Trust -Wave araştırmacıları, tanıdık kalıplar ve benzer kimlik avı şablonları içeren kimlik avı URL’lerinde önemli bir artış tespit ettiler ve e -posta pazarlama platformlarının URL yönlendiricilerinin yaygın kullanımının yanı sıra kötüye kullanılmada yeniden dirilişe dikkat çekti.
Makine öğrenimi bileşenlerini URL istihbarat çerçeveleri ile birleştiren pageml sistemleri, bu gelişen tehditleri gerçek zamanlı olarak tespit etmede etkili olmuştur.
Gelişmiş Yeniden Yönlendirme ve Kaçınma Teknikleri
Bu kampanyaların teknik karmaşıklığı, çok katmanlı yeniden yönlendirme mekanizmalarında belirgindir.
Belgelenmiş bir durumda, saldırganlar, ilk kimlik avı URL’sinin, kod çözüldüğünde gerçek kötü amaçlı hedefi ortaya çıkaran kodlanmış dizeler içerdiği Base64 kodlu bir yeniden yönlendirme şeması kullandılar.
.webp)
Kaynak kodu analizi şunları gösterdi:-
ucis.RedirectUrl = "aHR0cHM6Ly9vZmZpY21hc2RpbmRvbW1qZW9haWV1bnQuZXN6a3FlaHJoeXpkdXF2d3JiZ3h1dWd4YXF1bXJtLmlwLWRkbnMuY29tL2YvNFNTd08yUU5LQ3B5MWdDeEtzX0w=";
ucis.RedirectUrl = atob(ucis.RedirectUrl); // decode to real URL
Ayrıca, saldırganlar JavaScript olay dinleyicileri aracılığıyla sağ tıklama işlevselliğini devre dışı bırakarak anti-analiz önlemleri uygular:-
addEventListener("contextmenu", function(e) {
e.preventDefault();
});
Kampanyalar ayrıca, belirli kurbanlar için meşru görünen kişiselleştirilmiş kimlik avı sayfaları oluşturmak için Clearbit gibi hizmetleri kullanarak bukalemun kimlik avı tekniklerini, dinamik olarak şirket bilgilerini ve logoları kullanıyor.
Bu sayfalar genellikle güvenlik önlemleri sunarken görünürken başka bir kaçırma katmanı ekleyerek insan doğrulaması için Cloudflare Turnikesini entegre eder.
.webp)
Meşru altyapının kötüye kullanılması, güvenilir alanlarda kötü niyetli içerik barındırıldığında geleneksel kara liste yaklaşımları etkisiz hale geldiğinden, siber güvenlik ekipleri için önemli zorluklar yaratır.
Bu eğilim, barındırma altyapısının itibarından bağımsız olarak kötü niyetli niyeti belirleyebilen ileri davranışsal analiz ve makine öğrenimi tabanlı algılama sistemlerine duyulan ihtiyacı vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.