Kimlik avı saldırıları, saldırganların kurbanları kandırarak hassas bilgilerini ifşa etmelerini sağlayan bir tür sosyal mühendislik dolandırıcılığıdır.
Kimlik avı saldırılarında saldırganlar, kurbanları kötü amaçlı bağlantılara veya eklere tıklamaya kandırmak için e-postalarda, metinlerde veya aramalarda bankalar veya şirketler gibi güvenilir kuruluşları taklit ederler.
OSINTMATTER’daki siber güvenlik araştırmacıları yakın zamanda Booking.com yolcularını uyardı[.]com temalı kimlik avı saldırıları.
Karmaşık bir kimlik avı saldırısı “Rezervasyon”u hedef alıyor[.]Otel yöneticilerinin hesaplarını ele geçirerek müşterileri dolandıran “www.com”
Burada tehdit aktörü sahte bir alan adı kullanıyor (extraknet-booking[.](com) meşru “extranet-booking.com”u taklit ediyor.
“Kiril metni” (“загружено” veya “yüklendi”) içeren dizeleri kodlamak için parseInt kullanarak JavaScript karartma yöntemini kullanıyorlar; bu da muhtemelen Rusça konuşan kökenleri gösteriyor.
Araştırmacılar, saldırının arama sonuçlarında kötü amaçlı site sıralamasını yükseltmek için SEO zehirlenmesinden yararlandığı konusunda uyardı.
Özellikle, potansiyel veri sızdırma veya tehlikeye atılmış sistemlerle iletişimi sürdürme amacıyla standart dışı yüksek portlar kullanılarak “238 STUN” (NAT için Oturum Geçiş Yardımcı Programları) bağlama istekleri tespit edildi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bu saldırı, hafızaya yüklenerek tespitten kaçabilen karmaşık kötü amaçlı yazılımlardan biri olduğu için Ninja Trojan ile ilişkilendirilmiştir. Bunların arasında, kimlik avı sitesinin betikleriyle ilişkilendirilmiş düzinelerce site bulunmaktadır.
Bu teknik, NAT güvenlik duvarlarının aşılmasına olanak tanıyan ve hedefin iç ağlarının tehlikeye atılmasına yardımcı olan “UDP delik delme” yöntemini kullanır.
Bu gelişmiş yaklaşım, son derece etkili ve sürekli değişen bir tehdit yaratmak için çeşitli teknik unsurları bir araya getiriyor.
Booking’e yönelik karmaşık kimlik avı saldırısı[.]com, tespit edilmekten kaçınmak ve etkiyi en üst düzeye çıkarmak için gelişmiş teknikler kullandı.
Temel olarak, saldırı, saldırganların kötü amaçlı sahte bir portal veya gerçek Booking.com’u görüntülemesine olanak tanıyan dinamik gizlemeyi kullanıyordu.[.]com sayfası veya hata sayfaları, IP adresi ve tarayıcı ayarları gibi faktörlere bağlı olarak değişebilir.
Saldırı altyapısında sahte bir alan adı (extraknet-booking) vardı[.]com) ve kötü amaçlı kodu gizlemek için JavaScript gizleme kullanıldı. Kalıcı erişimi sürdürmek için STUN bağlama istekleri ve UDP delik delme kullanıldı.
Kritik bir bileşen, kötü amaçlı içeriğin dağıtımı için merkezi bir merkez görevi gören yüzlerce başka kimlik avı sayfasına bağlı bir iFrame’di.
Bu iFrame, httxxx://ls.cdn-gw-dv adresini işaret ediyor[.]vip/+dedge/zd/zd-hizmeti[.]html, merkezi kontrol, geniş erişim ve saldırı etkinliğinin izlenmesine olanak sağladı.
Kimlik avı sayfaları, RST enjeksiyonu yoluyla elde edilen zaman aşımı ve 404 hataları gibi testler sırasında çeşitli davranışlar sergiledi.
Burada saldırının karmaşıklığı, “Ninja” Truva atı zararlı yazılımıyla bir bağlantı olduğunu düşündürüyor.
Birincil hedefin, Booking.com’un kötüye kullanılmasının öncüsü olarak otel yöneticilerinin cihazlarını enfekte etmek olduğu görülüyor.[.]com’un, saldırının sonraki aşamasında müşterilere kötü amaçlı bağlantılar dağıtmak için kullandığı sohbet sistemi.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial