Siber güvenlik uzmanları, güvenli e -posta ağ geçitleri (SEG’ler) ve güvenlik analiz araçları ile tespitten kaçınmak için BLOB URI’larından (tekdüze kaynak tanımlayıcıları) sömürülen sofistike bir kimlik avı tekniği belirlediler.
Bu ortaya çıkan saldırı yöntemi, yalnızca oluşturan tarayıcı tarafından erişilebilen geçici verileri görüntülemek üzere tasarlanmış Blob Uris’in benzersiz özelliklerinden yararlanır.
Tarama ve analiz edilebilen standart kimlik avı sitelerinin aksine, Blob Uri tabanlı saldırılar, yalnızca mağdurun tarayıcı belleğinde var olan kimlik bilgisi hasat sayfaları oluşturarak onları geleneksel güvenlik önlemleri için neredeyse görünmez hale getirir.
.png
)
Saldırı, doğrudan kötü amaçlı alanlara değil, meşru, izin verilen web sitelerine bağlantılar içeren görünüşte zararsız bir e -posta ile başlar.
Bu ilk yanlış yönlendirme, kimlik avı denemesinin, tipik olarak mesajları şüpheli bağlantılarla engelleyen e -posta güvenlik filtrelerini atlamasına yardımcı olur.
Bu aracı sayfalara ulaştıktan sonra, kurbanlar sonuçta gerçek kimlik avı içeriğini içeren yerel bir blob uri üreten bir dizi adımla yeniden yönlendirilir.
CoFense araştırmacıları bu tekniği 2012 ortalarından başlayarak belirlediler ve tehdit aktörleri arasında artan benimsenmesini gözlemlediler.
Analizlerine göre, bu yöntem özellikle etkilidir, çünkü nihai kimlik avı sayfası sadece mağdurun tarayıcısında bulunur ve güvenlik araçlarının taraması veya engellenmesi için harici bir URL bırakmaz.
Bu teknik sınırlama, geleneksel kimlik avı tespit sistemlerinde önemli bir kör nokta yaratır.
.webp)
Enfeksiyon zinciri sofistike bir çok aşamalı işlemi takip eder. İlk e -posta SEG’yi atladıktan sonra, kullanıcılar Microsoft OneDrive gibi meşru hizmetlere yönlendirilir.
.webp)
Standart bir giriş sayfası veya belge erişim ekranı gibi görünen şey aslında özenle hazırlanmış bir yeniden yönlendirme mekanizmasıdır.
Mağdurlar “Oturum Aç” veya “Belgeyi Görüntüle” için tıkladıklarında, kurbanın tarayıcısında yerel olarak bir blob uri üreten bir tehdit aktör kontrollü HTML sayfasına sorunsuz bir şekilde yönlendirilirler.
.webp)
Blob Uri’den (tipik olarak “Blob: https: //domain.com/random-string” olarak görünen) işlenen ortaya çıkan kimlik avı sayfası, Microsoft 365 veya OneDrive gibi hizmetleri taklit eden ikna edici giriş formları sunar.
Yalnızca yerel tarayıcı belleğinde mevcut olmasına rağmen, bu sayfalar, saldırganlar tarafından kontrol edilen uzak sunuculara yakalanan kimlik bilgilerini yaymak için gizli işlevsellik içerir.
Bu teknik, kimlik bilgisine girmeden önce URL geçerliliğinin kontrol edilmesini vurgulayan hem teknolojik savunmaları hem de standart kullanıcı farkındalık eğitimini etkili bir şekilde atlattığı için kimlik avı taktiklerinde ilgili bir evrimi temsil eder.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.