Evilginx olarak bilinen gelişmiş bir kimlik avı araç seti, saldırganların gelişmiş ortadaki saldırgan (AiTM) kampanyalarını endişe verici bir başarıyla yürütmesine olanak tanıyor.
Bu saldırılar, geçici oturum çerezlerini çalmak üzere tasarlanmış olup, tehdit aktörlerinin çok faktörlü kimlik doğrulama (MFA) tarafından sağlanan kritik güvenlik katmanından kaçmasına olanak tanır.
Bu yöntemde endişe verici bir artış gözlemlendi ve bu artış, artık sıklıkla hedef tahtasında yer alan eğitim kurumları üzerinde dikkate değer bir etki yarattı.
Tehdidin temeli, kullanıcının kimliği doğrulanmış oturumunu ele geçirme ve ilk oturum açma sonrasında MFA’nın korumasını etkili bir şekilde etkisiz hale getirme kapasitesidir.
Evilginx, kendisini şüphelenmeyen bir kullanıcı ile meşru bir web sitesi arasına şeffaf bir proxy olarak yerleştirerek çalışır.
Bir kullanıcı özel hazırlanmış kötü amaçlı bir bağlantıyı tıkladıktan sonra, orijinal siteyi kusursuz bir şekilde yansıtan bir kimlik avı sayfasına yönlendirilir.
Bu proxy kurulumu, kurbanın kullanıcı adını ve şifresini gerçek zamanlı olarak yakalayarak gerçek oturum açma sürecini aktarır.
Kritik olarak, kullanıcı kimliğini bir MFA belirteci ile doğruladıktan sonra araç, devam eden oturum için tarayıcıyı tanımak ve ona güvenmek üzere hizmet tarafından yayınlanan oturum çerezine müdahale eder.
Bu çerez hırsızlığının sonuçları önemlidir. Saldırgan, çalınan oturum çerezini basitçe yeniden oynatarak, bir daha kimlik bilgileri veya MFA kodu sağlamaya gerek kalmadan kimliği doğrulanmış kullanıcının kimliğine bürünebilir.
Malwarebytes güvenlik araştırmacıları, bunun davetsiz misafire ele geçirilen hesaba sınırsız erişim sağladığını tespit etti. Bu, gizli e-postaları okumalarına, kritik güvenlik ayarlarını değiştirmelerine veya hassas kişisel ve finansal verileri sızdırmalarına olanak tanır.
Ele geçirilen oturum zaten doğrulanmış olduğundan, saldırganın kötü niyetli faaliyetleri genellikle daha fazla güvenlik uyarısını tetikleyemez ve bu da onların gizlice çalışmasına olanak tanır.
Aldatıcı ve Kaçınmacı Bir Saldırı Akışı
Evilginx saldırılarının başarısı derin aldatmacalarına dayanmaktadır. Saldırganın kontrol ettiği kimlik avı sayfaları yalnızca statik sahtecilik değildir; gerçek web sitesinin canlı içeriğini sunan, genellikle geçerli bir TLS güvenlik sertifikasıyla tamamlanan aktif proxy’lerdir.
Bu taktik, tarayıcının asma kilit simgesinin kontrol edilmesi gibi yaygın güvenlik yönlendirmelerini etkili bir şekilde etkisiz hale getirir.
Saldırganlar, tespit edilmekten daha fazla kaçınmak için sıklıkla çok kısa ömürlü kimlik avı bağlantıları kurar ve bu bağlantıların, güvenlik engelleme listeleri tarafından kataloglanmadan önce ortadan kaybolmasını sağlar.
Bu, güvenlik araçlarını davranışsal analize güvenmeye zorlar; bu da her saldırıyı yakalamak için her zaman yeterli olmaz ve ilk kimlik avı tuzağının tespit edilmesi konusunda kullanıcının farkındalığına ağır bir yük getirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
