Yakın zamanda Cyjax tarafından, saldırganların ünlü markaların itibarını istismar ettiği, perakende dahil çok sayıda dikey pazardaki işletmeleri hedef alan kapsamlı bir kimlik avı kampanyası keşfedildi ve buna aşağıdaki iş sektörleri dahildir:-
- Bankacılık
- Yolculuk
- İlaçlar
- Yolculuk
- Enerji
- Ulaşım
Fangxiao, Çin’de yerleşik olduğundan şüphelenilen ve bu kampanyanın arkasında olduğu iddia edilen, finansal olarak motive olmuş bir tehdit aktörü olarak sınıflandırılan bir gruptur.
Grup tarafından 2019’dan beri 42.000’den fazla benzersiz alan adının kaydedildiği ve sayıların her geçen gün arttığı tahmin ediliyor.
Tüm bu alan adları, kullanıcıları kandırmak ve onları aşağıdaki şeyleri tanıtan sitelere yönlendirmek için ünlü markaları taklit eder:-
- Reklam yazılımı uygulamaları
- Arkadaşlık siteleri
- ücretsiz eşantiyonlar
2017’nin başından bu yana, tehdit aktörleri dünya çapında 400’den fazla ünlü markanın sahtekarlığıyla faaliyet gösteriyor.
Etkilenen Şirketler
Bu sorundan etkilenen ve aşağıda özetlediğimiz birkaç şirket var:-
- emirlikler
- Singapur Shopee
- Unilever
- Endonezya’nın Indomie’si
- kola
- McDonald’s
- Knorr
Bazen kurbanlar, Fangxiao tehdit aktörleri tarafından, Triada veya diğer kötü amaçlı yazılımların bulaştığı kötü amaçlı web sitelerine yönlendirilir. Araştırmacılar, son zamanlarda Triada’nın kötü amaçlı yazılımı yayan sahte WhatsApp uygulamaları aracılığıyla yayıldığına dair raporlar olduğunu söyledi.
Buna rağmen, Fangxiao henüz bu web sitelerinin operatörleriyle doğrudan bir bağlantı kurmadı.
Teknik Analiz
Fangxiao’nun her gün kaydettiği markaları taklit eden yaklaşık 300 yeni tescilli alan adı var. Kötü niyetli operatörler, Mart 2022’nin başından bu yana sahte ödüllerini tanıtmak için toplam 24.000 açılış sayfası ve anket alanı kullandı.
Genel olarak, operatörler web sitelerinin çoğu için aşağıdaki TLD’leri kullanır:
- .tepe
- .cn
- .cyou
- .xyz
- .iş
- .tech
Web sitelerinin Cloudflare arkasında korunduğunu ve aşağıdaki platformlar aracılığıyla kaydedildiklerini not etmek önemlidir:-
Çoğu durumda, kullanıcılar bu web sitelerine mobil reklamlar veya bir teklif veya bir şey kazanma duyurusu içeren bir bağlantı içeren WhatsApp mesajları aracılığıyla yönlendirilir.
Google ve Facebook, “ylliX” reklamları için açılış sayfalarını şüpheli olarak işaretledi, çünkü bu reklamlara tıklamak açılış siteleri içinde farklı bir yönlendirme zincirine yol açacaktır.
Cyjax’ın Fangxiao ile ilgili soruşturması sırasında, operatörün Çinli olduğunu gösteren birkaç belirti bulundu. Ortaya çıkan bir kontrol panelinin Mandarin karakterlerini gösterdiği bulundu.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin