‘Cogui’ adlı yeni bir kimlik avı kiti, Ocak ve Nisan 2025 arasında hesap kimlik bilgilerini ve ödeme verilerini çalmayı hedefleyerek 580 milyondan fazla e -posta gönderdi.
Mesajlar Amazon, Rakuten, PayPal, Apple, Vergi Ajansları ve Bankalar gibi büyük markaları taklit ediyor.
Etkinlik, 170 kampanyanın 172.000.000 kimlik avı mesajını hedeflere gönderdiği Ocak 2025’te sona erdi, ancak sonraki aylar eşit derecede etkileyici ciltler korudu.
Cogui kampanyalarını keşfeden prova noktası araştırmacıları, şu anda izledikleri en yüksek hacimli kimlik avı kampanyası olduğunu belirtti. Saldırılar çoğunlukla Japonya’yı hedefliyor, ancak daha küçük ölçekli kampanyalar da ABD, Kanada, Avustralya ve Yeni Zelanda’ya yönlendirildi.
Cogui en azından Ekim 2024’ten beri aktif, ancak Proofpoint Aralık ayında ve ileride izlemeye başladı.
Kaynak: Proofpoint
Analistler, Çin merkezli operatörlerle bağlantılı olan Darcula kimlik avı kitine birkaç benzerlik buldular ve başlangıçta Cogui saldırılarının kökeninin aynı olduğuna inanıyorlardı.
Bununla birlikte, daha derin bir inceleme üzerine Proofpoint, her ikisi de Çin tehdit aktörleri tarafından kullanılmasına rağmen iki kimlik avı kitinin ilgisiz olduğu sonucuna varmıştır.
Cogui saldırı zinciri
Saldırı, genellikle alıcının eylemini gerektiren acil konu hatlarına sahip olan güvenilir bir markayı taklit eden bir kimlik avı e -postasıyla başlar.
Mesajlar, Cogui kimlik avı platformunda barındırılan bir kimlik avı web sitesine yönlendiren bir URL içerir, ancak bağlantı yalnızca hedefin saldırganlar tarafından önceden tanımlanmış belirli kriterleri karşılaması durumunda çözülür.
Bu kriterler IP adreslerini (konum), tarayıcı dili, işletim sistemi, ekran çözünürlüğü ve cihaz türünü (mobil veya masaüstü) içerir.
Kriterler karşılanmazsa, mağdurlar markanın şüpheyi azaltmak için taklit edilen meşru sitesine yönlendirilir.
Geçerli hedefler, gerçek markanın tasarımını taklit eden ve kurbanları hassas bilgilerine girmeye kandıran sahte bir giriş formu içeren bir kimlik avı sayfasına yönlendirilir.
Kaynak: Proofpoint
Proofpoint ayrıca Cogui’nin ABD’yi ‘olağanüstü ücretli ödeme’ yemleriyle hedefleyen kampanyaların arkasında olduğunu buldu. Ancak, bu etkinliğin çoğunun Darcula’ya göç ettiğini kaydetti.
Araştırmacılar, Cogui’nin öncelikle Çin’den, ağırlıklı olarak Japon kullanıcıları hedefleyen çoklu tehdit aktörlerinin operasyonlarını kolaylaştırdığına inanıyor.
Bununla birlikte, kit, her an farklı bir hedefleme kapsamına sahip diğer siber suçlular tarafından benimsenebilir ve bu da büyük saldırı dalgalarının diğer ülkelere çarpmasına neden olabilir.
Kimlik avı risklerini azaltmanın en iyi yolu, acil eylem isteyen e -postalar alırken asla acele ile hareket etmek ve her zaman iddia edilen platformda gömülü bağlantıları takip etmek yerine bağımsız olarak giriş yapmaktır.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.