Autodesk Drive, kuruluşların buluttaki belge ve dosyaları paylaşmasına yönelik bir veri paylaşım platformudur.
Ayrıca, diğer Autodesk ürünlerine abone olunduğunda ücretsiz olarak kullanılabilen PDF dosyaları da dahil olmak üzere 2D ve 3D veri dosyalarını da destekler.
Ancak yeni bir saldırı kampanyası keşfedildi.
Bu kampanya, Autodesk barındırma platformunu kötü amaçlı PDF dosyalarını barındırmak için kötüye kullanıyor ve bu da kurbanlara yönelik kimlik avı saldırılarına yol açıyor.
Bu kimlik avı saldırısı, açıkça Microsoft oturum açma kimlik bilgilerini toplamayı amaçlamaktadır.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre tehdit aktörleri, yeni kurbanları bulmak ve hedeflemek için ele geçirilen e-posta hesaplarını kullanıyor.
Güvenliği ihlal edilmiş e-posta hesaplarının kullanılması, kullanıcıların yerleşik Autodesk bağlantılarını ziyaret etmesini daha az şüpheli hale getirir.
Tehdit aktörleri tarafından ele geçirilen bu hesaplardan gönderilen e-postalar aynı zamanda meşru e-posta imzası altbilgisini de içerir.
.webp)
Kurbanlar bu e-postalardaki Autodesk sürücü bağlantılarına tıkladıklarında, kimlik avı saldırısına güven kazandırmak amacıyla esas olarak gönderenin adını ve çalıştıkları şirketi içeren PDF belgesini görüntülemek üzere bağlantılara yönlendiriliyorlar.
.webp)
Bu PDF bağlantısı, ziyaret eden kullanıcıyı Microsoft Oturum Açma formuna yönlendirecek başka bir kimlik avı bağlantısı içeren bir “BELGEYİ GÖRÜNTÜLE” seçeneğini içerecektir.
Bu form, kurbana kullanıcı adının ve şifresinin sorulduğu orijinal Microsoft giriş formuna tamamen benziyor.
.webp)
Kimlik bilgilerini girdikten sonra Microsoft’un One Drive hizmetinde barındırılan gayrimenkul yatırımı ile ilgili bir kitaba yönlendiriliyorlar.
OneDrive Microsoft’a ait bir ürün olduğu için kullanıcıya gördüğü belgenin bu amaçla yazıldığı izlenimini veriyor.
Ancak tehdit aktörleri kimlik bilgilerini Spoof formu aracılığıyla topladı.
.webp)
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Kimlik Avı Sonrası Taktikler
Tehdit aktörleri artık kurbanın Microsoft kimlik bilgilerine sahip olduğundan, bunları kullanarak hassas şirket bilgilerine yetkisiz erişim sağlayabilir ve ayrıcalıklı Microsoft hesaplarını hedef alan çok sayıda kimlik avı e-postası gönderebilir.
Dillerdeki farklılıktan dolayı farklı bir davranış fark edildi.
Gönderenin yerel ayarını kullanarak dilleri değiştiren bu kimlik avı e-postasını, tehdit aktörlerinin otomatikleştirdiği gözlemleniyor.
Bu spekülasyona kanıt eklemek için, PDF’de Fransızca kullanan Kanadalı bir üretim şirketinden benzer bir kimlik avı e-postası gönderildi.
.webp)
Kuruluşların ve çalışanların kimlik avı saldırılarına karşı dikkatli olmaları tavsiye edilir.
Ayrıca, kimlik bilgileri girilmeden önce her oturum açma formu URL’sinin doğrulanması gerekir.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo