Botlara ve tarayıcılara karşı savaşmak için tasarlanmış bir bot koruma aracı olan Predator’ın artık tehdit aktörleri tarafından kötü amaçlarla kötüye kullanıldığı tespit edildi.
Tehdit aktörleri, kullanıcıları kötü amaçlı bir web sitesine çekmek için kötü amaçlı bağlantılar içeren kimlik avı e-postaları kullanıyor.
Ancak herhangi bir güvenlik araştırmacısı web sitesinde bot/tarayıcı çalıştırırsa, Google’ın ana sayfası veya Wikipedia gibi meşru bir siteye yönlendirme kurulur. Bu, kaçınma tekniğinin bir parçası olarak yapılır.
Tehdit aktörleri, tespit edilmekten kaçınmak için kimlik avı şablonlarını ve kimliğe bürünme markasını düzenli olarak değiştiriyor.
E-postaların çoğu, ele geçirilen hesaplardan gönderiliyor; bu da tehdit aktörlerinin bu saldırı için zaten birçok hesaba erişim elde ettiğini gösteriyor.
Ancak bu kimlik avı e-postalarına eklenen URL bağlantıları, kullanıcıyı bir sonraki sayfaya yönlendiren window.location.replace yöntemini içeren bir web sitesine yönlendirir.
Ayrıca sayfada bot/tarayıcı/otomasyonun taranmasına yönelik kod da bulunur. Web sayfasının içine gömülü görseller, otomasyon araçlarını tespit etmek için kullanılan gizli/boş bağlantılar içerir.
Bu URL’lerin inceleme altında olması durumunda, denetimlerin çoğu yalnızca otomatik programlar aracılığıyla gerçekleştiğinden, program IP adreslerini de engelleyebilir veya bunları meşru web sitelerine yönlendirebilir.
isBot() işlevi
Bu fonksiyon, aynı zamanda tüm testleri değiştirebilecek çeşitli testlerin gerçekleştirilmesinden sorumludur.
Ek olarak isBot() işlevi, orijinal araç koduyla birlikte Hex dizelerine sahip üç ekstra işlev de ekledi.
Bu, web sitesinin analizini zorlaştırmak için yapıldı. Araştırmacılar tarafından analizin bir parçası olarak çeşitli örnek web siteleri toplandı. Hepsinin farklı şablonları ve cezbetme yöntemleri vardı.
Ayrıca, kötüye kullanma yöntemi, kaynak kodu ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
- u29421114.ct.sendgrid[.]net/ls/click?upn=e94YjHb22mXQExZeqifeFl1jcmssiC-2Bt12dCq-2FC-2B0vGfntvJQRpI0UhFwvn-2BptFK1nJKJNYWovH2Fn0kFMZ7LW9HeSvBsycWiCS2e4DyCGMi4mqRJj-2FnDOJddSO GYimMbNWt_RTDQb-2BhtsIfNiUEWbcIZ3tj5ZqpiJX1igf-2BE5jeDjF6qRwcWCkJ1V-2BbcTddk4l-2FfyH-2BJ5n4wDxapd8wiOWZU3UlLzJoagpMNtk4SEC4-2BM6zaVaqlYbamNRfL4iCC oxaNPhpxj-2FzLhNkNEaBzdOz-2FfYspPyhzQQXWkNKyMwQBTWa0i9dwVZWZWmW4wV6f4p4xxc3-2FMj1KA-2B1VSERCmQ-2Bl3ESVU8CmonAO7pn-2F-2BIbU0QE-3D
- ipf’ler[.]io/ipfs/QmWjcYbGL1ek5djYTCe6VU52T7Xd6MSjrrra8zqr88U2Yp
- hxxps://25675.nafay[.]org/jtuhfhb/vgryujbfhb/gfyujfg/LwBkTy/
- hxxps://698619018.cprecnepal[.]org/yitixoxufdrv/doicililios/fpZnDg//
- https://1612579504.universalimage[.]org/zilbanitewed/yitukiniki/QgkcbB/
- hxxp://xx2rpl.inetlte.kpmark.slaughterjbu.alzeraf[.]com/////sıçan/////ret/IEYly1////
- hxxp://47962.adistu[.]ro/#
- hxxp://oneconnect.memberdoc[.]com/v2/EmailTracker/Click?data=247822_120633631_1~https://gagnon-construction[.]com/sahibi#
- hxxps://www.bing[.]com/ck/a?!&&p=cfdcca34c3e54300JmltdHM9MTY4NDEwODgwMCZpZ3VpZD0xNDdmYWI3MS02M2FiLTZhZjItMDM3OS1iOTlkNjIxYzZiMWYmaW5zaWQ9NTMwNw&ptn=3&hsh=3&fclid=147fab71- 63ab-6af2-0379-b99d621c6b1f&u=a1aHR0cHM6Ly9wcm9hdWRpb2xpZ2h0aW5nLmNvbS83ODcvNzI5OTkyLmh0bWw#
- hxxps://api.imagequix[.]com/one/marketing/analytics/mail/unsubscribe/redirect?id=348842974&link=https://abutazkiyah[.]co.za/hsb/amex/7D9Edf/