Bir Çin Yetişkin İçerik İlerici Web Uygulaması (PWA) aldatmaca sunmak için kötü amaçlı üçüncü taraf JavaScript aracılığıyla mobil kullanıcıları hedefleyen sofistike yeni bir enjeksiyon kampanyası ortaya çıktı.
Kullanıcıları hxxps: // xjdm166 gibi sitelere yönlendiren bu saldırı[.]Com, kullanıcıları daha uzun süre korumak ve geleneksel tarayıcı güvenlik mekanizmalarından kaçınmak için PWAS’ın benzersiz özelliklerinden yararlanır.
Tipik kimlik avı denemelerinden farklı olarak, bu kampanya açılış sayfası olarak tam bir PWA kullanıyor ve bu da daha kalıcı ve aldatıcı teslimat yöntemlerine doğru bir kaymayı gösteriyor.
.png
)
Güvenlik araştırmacıları, genellikle müşteri tarafı güvenliğinde göz ardı edilen PWAS’ın, doğrudan tarayıcılarda uygulama benzeri işlevsellik ile çalışma yetenekleri nedeniyle bu tür istismarlar için giderek daha fazla vektör haline geldiğini belirtiyor.
Yükselişte sadece mobil PWA dolandırıcılığı
Saldırı, genellikle “Haitang Edebiyat Ağı” ve “Shenma Roman Network” gibi başlıklarla yeni okuma platformları olarak gizlenen, kötü niyetli senaryoların tehlikeye atılmış web sitelerine enjeksiyonu ile başlar.
Hxxps: // xxsmad6 adresinden barındırılan yükleyici gibi bu komut dosyaları[.]com, masaüstü kullanıcılarını filtrelemek ve mobil cihazları yalnızca hedeflemek için tasarlanmıştır.
Bir mobil kullanıcı enfekte olmuş bir siteye eriştiğinde, komut dosyası bir ViewPort meta etiketini kontrol eder; Eğer yoksa, mobil oluşturmayı optimize etmek için bir tane enjekte eder.
Bunu takiben, toutiaoimg’den alınmış aldatıcı görsellerle karanlık bir yarı saydam reklamı kapsıyor[.]com, sahte bir kapat düğmesinin yanında.
Görüntüyü veya düğmeyi tıklamak, klasik bir yem ve anahtar taktiği göstererek yeni bir sekmedeki PWA aldatmaca sitesine yönlendirmeyi tetikler.
XXSMAD6 gibi alanlardan harici kaynakların kullanılması[.]Varlıklar için com ve xjdm166[.]Nihai yük için com, bu kampanyanın çok katmanlı doğasının altını çizmektedir.
Ek olarak, AKAV50.top’taki yetişkin içerik bölgelerine bağlantılara giren saldırının daha yeni yinelemelerinde bulunan gizlenmiş kod, kötü niyetli etkinlikleri daha fazla maskeleme niyetini ortaya koyar.
Teknik döküm
Kampanyanın yalnızca mobil odağı, masaüstü tabanlı analize veya sunucu tarayıcılarına dayanan birçok algılama mekanizmasını atlamasını sağlar.
Güvenlik uzmanları, bu kötü niyetli alanlara önemli trafik gözlemlemiştir ve yaygın bir operasyon olduğunu düşündürmektedir.
Ayrıca, analiz sırasında, tehlikeye atılan web uygulamalarındaki aksaklıklar gizli çerçeveleri ortaya çıkararak sahte yetişkin web sitelerinin tanınmış platformları taklit etmesine yol açar.
Bu siteler sonuçta Android ve iOS cihazları için kötü amaçlı yazılım indirmelerini zorluyor, örnekler 63 veya 65 satıcıdan sadece 3’ü Virustotal gibi platformlarda endişe verici derecede düşük algılama oranları gösteriyor.
Bu düşük algılama oranı, saldırganların taktiklerini mevcut güvenlik çerçevelerindeki boşluklardan yararlanmak için sürekli olarak uyarlarken saldırının gizliliğini ve sofistike olduğunu vurgulamaktadır.
Bu tehdidi azaltmak için, web sitesi sahiplerine üçüncü taraf komut dosyalarını titizlikle gözden geçirmeleri ve sterilize etmeleri, satır içi komut dosyası yürütmesini engellemek ve beklenmedik meta etiketler veya harici istekler için çalışma zamanı davranışını izlemeleri istenir.
Bu kampanya, PWAS’ın mobil kullanıcıları artan cezasızlıkla sömürmeyi amaçlayan siber suçlular için güçlü bir araç haline geldiği, müşteri tarafı saldırılarının gelişen manzarasının kesin bir hatırlatıcısı olarak hizmet vermektedir.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge | Tanım |
|---|---|---|
| İhtisas | xxsmad6[.]com | Ana yükleyici ve varlık ana bilgisayar |
| İhtisas | xjdm166[.]com | Son PWA aldatmaca iniş sitesi |
| İhtisas | toutiaoimg[.]com | Aldatıcı görseller için görüntü ana bilgisayar |
| İhtisas | akav50.top | Yetişkin İçerik Yönlendirme Bağlantılarını Ana Bilgisayarlar |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!