Yüksek düzeyde hedeflenen bir kimlik avı kampanyası, meşru finansal hizmet sağlayıcısından kaynaklanan ayrıntılı olarak hazırlanmış e -postalar aracılığıyla cep kartı kullanıcılarını kullanıyor.
Mart 2025’in başından beri aktif olan kampanya, tahmini 3.000 hesabı tehlikeye attı ve bu da yetkisiz işlemler ve kimlik bilgisi hırsızlığı ile sonuçlandı.
Bu saldırının arkasındaki kötü niyetli aktörler, alıcıları görünüşte iyi huylu ekler veya gömülü bağlantılarla etkileşime geçmek için ikna edici cep kartı markalaşması, doğru biçimlendirme ve bağlamsal olarak ilgili mesajlar kullanıyor.
Saldırı vektörü öncelikle güvenlik uyarıları, işlem onayları veya hesap doğrulama bildirimleri olduğu iddia edilen e -postalardan yararlanır.
Bu mesajlar, kullanıcıları şüpheli etkinlikleri incelemeye veya kimlik bilgilerini, titizlikle tasarlanmış kimlik avı sayfalarına yönlendiren gömülü bağlantıları tıklayarak doğrulamaya teşvik eder.
Açılış sayfaları, birçok kullanıcının güvenlik ile ilişkilendirdiği asma kilit simgesini görüntülemek için uygun şekilde uygulanan SSL sertifikalarını içeren resmi cep kartı kimlik doğrulama portalından neredeyse ayırt edilemez.
Broadcom araştırmacıları, finansal hizmetler müşterilerini hedefleyen kimlik bilgisi hasat girişimlerinde bir artış gözlemledikten sonra kampanyayı kaydetti.
Analizleri, bu saldırıların geleneksel e-posta güvenlik filtrelerini atlamak için tasarlanmış sofistike bir çok aşamalı yük dağıtım sistemi kullandığını ortaya koydu.
Araştırmacılar, kampanyanın, meşruiyeti artırmak için “pocket-card-secure.com” ve “pocketcard-derifification.net” gibi URL’lerle alan yazım alanı kullandığını belirtti.
Enfeksiyon mekanizması analizi
Enfeksiyon süreci, kurbanlar kötü niyetli bağlantıyı tıkladığında başlar ve nihayetinde kimlik avı sayfasını yükleyen JavaScript tabanlı bir yönlendirme zincirini tetikler.
Bu sayfa, bir sürücü indirme tekniği aracılığıyla bir tarayıcı uzantısı yükleyen bir arka plan işlemi başlatırken kimlik bilgilerini yakalar.
Uzantı, birden fazla finansal web sitesinde ek kimlik doğrulama ayrıntıları toplayan bir formgrabber olarak işlev görür.
Bu saldırının çekirdeği, algılamadan kaçınırken dinamik olarak içerik yükleyen gizlenmiş JavaScript’te yatmaktadır:-
function dL(s) {
var r = "", a = s.split(""), n = a.length;
for(var i=0; iBu deobfuscation rutini, sunucuları komuta etmek ve kontrol etmek için şifreli kanallar aracılığıyla kimlik bilgisi eksfiltrasyonunu gerçekleştiren ek kötü amaçlı kodları açar ve algılamayı güvenlik çözümleri için özellikle zorlaştırır.
Bu sofistike kimlik avı kampanyası, sosyal mühendisliği gelişmiş teknik kaçırma teknikleriyle birleştiren finansal hizmet müşterileri için gelişen bir tehdidi temsil ediyor.
Kullanıcılar tüm iletişimleri resmi kanallar aracılığıyla doğrulamalı ve mevcut olduğunda çok faktörlü kimlik doğrulamayı etkinleştirmelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free