Çinli mali motivasyonlu bir tehdit aktörü olan SilkSpecter, Kara Cuma alışveriş sezonunda Avrupa ve ABD’deki e-ticaret müşterilerini hedef alan gelişmiş bir kimlik avı kampanyası başlattı.
Kampanya, mağdurların Kart Sahibi Verilerini (CHD) ve Hassas Kimlik Doğrulama Verilerini (SAD) çalmak ve meşru işlemlerin devam etmesine izin vermek için meşru ödeme işlemcisi Stripe’tan yararlandı.
Tehdit aktörü, kurbanın IP konumuna göre dinamik dil ayarıyla hızlı bir şekilde ikna edici sahte e-ticaret siteleri oluşturmak için Çin’deki bir SaaS platformu olan oemapps’i kullandı.
Genellikle meşru alan adlarında yazım hatası yapan kimlik avı siteleri, kurbanları hassas bilgiler sağlama konusunda kandırmak için .top, .shop, .store ve .vip TLD’leri kullandı.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Analistler, SilkSpecter tehdit aktörüyle bağlantılı Kara Cuma temalı kimlik avı alanları arasında, yanıltıcı bir “trusttollsvg” simgesi ve “/homeapi/collect” uç noktasının varlığıyla karakterize edilen bir model tespit ediyor.
Simge, güvenilir web sitelerini taklit etmek için kullanılırken uç nokta, kurban etkileşimlerinin gerçek zamanlı izlenmesine olanak sağladı.
Analistler, bu benzersiz göstergelerin farkına vararak, SilkSpecter’in devam eden kampanyasıyla ilişkili ek indirim temalı kimlik avı alanlarını ortaya çıkarmayı başardılar.
SilkSpecter’ın kimlik avı kiti, kurbanları aldatmak için çok katmanlı bir yaklaşım kullandı; Kara Cuma temalı kimlik avı sayfaları, dinamik dil çevirisi ve web sitesi izleyicileriyle birleştiğinde ikna edici bir meşruiyet yanılsaması yarattı.
Kişisel bilgiler, banka bilgileri ve telefon numaraları da dahil olmak üzere kurban verileri, saldırganların kontrolündeki sunuculara sızdırıldı.
Stripe, gerçek işlemleri gerçekleştirmek için kötüye kullanıldı ve çalınan bilgiler, vishing veya smishing gibi ikincil saldırılarda daha da kötüye kullanılabilir.
Çevrimiçi alışveriş yapanları hedeflemek için karmaşık bir kimlik avı planı kullandı ve meşru platformları taklit ederek kurbanları hassas finansal bilgileri sağlamaya ikna etti.
Kart ayrıntıları da dahil olmak üzere çalınan veriler, güvenlik önlemlerini atlayarak Stripe’ın API’leri aracılığıyla uzak bir sunucuya sızdırıldı. Saldırganlar, başarı oranlarını artırmak için Kara Cuma promosyonlarından yararlanarak kötü niyetli kimlik avı bağlantılarını yaymak için muhtemelen sosyal medya ve SEO zehirlemesini kullandı.
EclecticIQ Tehdit Araştırma Ekibi’ne göre, muhtemelen Çinli bir tehdit aktörü olan SilkSpecter, kimlik avı sayfalarında Mandarin dili yüklü JavaScript yorumları ve HTML dil etiketleri kullanıyor ve bu da Çince konuşan geliştiricilere işaret ediyor.
Altyapıları büyük ölçüde Çin CDN’lerine ve oemapps gibi SaaS platformlarına dayanıyor; burada analistler SilkSpecter’i 89’dan fazla IP adresine ve 4.000 alan adına bağladı; bunların çoğu Çin ASN’lerine ve şirketlerine bağlı ve bu da atıfları daha da sağlamlaştırıyor.
Bu, daha fazla gizleme için Cloudflare’in altyapısını kullanarak operasyonlarını maskelemek amacıyla West263, Hong Kong Kouming International, Cloud Yuqu ve Alibaba Cloud gibi Çinli alan adı kayıt şirketlerinden yararlanan gelişmiş bir kimlik avı grubudur.
Riskleri azaltmak için kuruluşların “indirim”, “Kara Cuma” veya “/homeapi/collect” içeren URL’leri izlemesi ve alan adlarını “trusttollsvg” ile işaretlemesi gerekir.
24429, 140227, 3824, 139021 ve 45102 numaralı ASN’lerden ağ trafiğinin izlenmesi şüpheli bağlantıların belirlenmesine yardımcı olabilir; bireysel kullanıcıları korumak için sanal kartların kullanılması ve kredi kartlarına harcama limitlerinin belirlenmesi önerilen uygulamalardır.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.