Tehdit aktörleri, tespit edilmekten kaçınmak ve kullanıcıların oturum açma bilgilerini yasadışı yollardan elde etmek için Telegram API’lerini kullanıyor.
Gizlenmiş bir URL (hxxps) içeren bir kimlik avı e-postasına karşı dikkatli olun[://]www[.]sen adım at[.]r2.dev bulut depolama alanında (hxxps) barındırılan aldatıcı bir açılış sayfasına yönlendiren com/wp-plug/imu0nni5/3rhenqt2/)[://]yayın-31a116fb226d4dfaa2004eef764a6bff[.]r2[.]geliştirici/hadi[.]Dikkatli olun ve şüpheli bağlantılara tıklamayın.
Bu açılış sayfası, form gönderimlerini işlemek için jQuery ile bir JavaScript betiği kullanır. Bir kullanıcı formu doldurduğunda, betik hedefin kimlik bilgilerini ve diğer bilgileri içeren bir POST isteği gönderir, muhtemelen daha fazla istismar için bir Telegram botuna.
Toplanan bilgileri içeren ayrıntılı bir mesaj oluşturarak ve bunu Telegram API’sini kullanarak belirlenmiş bir Telegram sohbetine ileterek hassas ziyaretçi verilerini sızdıran kötü amaçlı bir işlevi uygular.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Bu işlevin, mağdur bilgilerinin gizlice toplanıp tehdit aktörleriyle paylaşılmasıyla, kimlik avı saldırılarının gerçekleştirilmesini kolaylaştırması amaçlanıyor.
Betik, belge tam yüklendiğinde yürütülür, yürütmelerini izlemek için bir sayaç değişkeni başlatır ve daha sonra URL’den Base64 kodlu bir karma parçası çıkarır; bu parça daha sonra çözülür ve ‘ai’ değişkeninde saklanır.
Diyelim ki ‘ai’ değişkeni bir değer içeriyor. Bu durumda, betik URL’den bir e-posta adresini ayrıştırır, alan adını çıkarır ve ardından çıkarılan alan adını kullanarak potansiyel olarak karşılık gelen bir logoyu getirir ve görüntüler.
Komut dosyası, birincil bot ve olası bir günlük tutma botu için ayrı belirteçler (BOT_TOKEN, LOGGER_TOKEN) kullanarak Telegram bot iletişimini kullanır ve botlar için mesaj alıcılarını belirlemek üzere ilgili sohbet kimliklerini (CHAT_ID, LOGGER_ID) birleştirir.
Form gönderim işleyicisi, “submit-btn” düğmesine tıklandığında varsayılan form gönderim davranışını engeller. E-posta biçimini ve parola uzunluğunu doğrular ve kriterler karşılanmazsa gönderimi engeller.
Geçerli girdiler için ziyaretçi verilerini, e-postayı, şifreyi, tarayıcı ayrıntılarını ve MX kaydını AJAX aracılığıyla bir Telegram botuna asenkron olarak gönderir.
Botun yanıtına göre, işleyici bir hata mesajı görüntüler veya geleneksel sunucu etkileşimini ve sayfa yeniden yüklemesini atlayarak belirtilen bir PDF’ye yönlendirerek başarılı bir oturum açma simülasyonu yapar.
Ziyaretçi bilgilerini toplamak ve potansiyel olarak bunları belirli bir URL’ye göndermek için yardımcı işlevleri kullanır, örneğin ‘getVisitorIP’ IP ayrıntılarını almak için, `logVisitorToTelegram` verileri eş zamanlı olarak bir Telegram sohbetine kaydeder. `getMXRecord` e-posta sunucusu bilgilerini alır.
`handleBase64Data` fonksiyonu, `sendVisitorIP` tarafından işlenen IP verileri de dahil olmak üzere ziyaretçi bilgilerinin gönderilmesi için hedef olabilecek `FILE` adlı bir değişkeni (muhtemelen base64 kodlu bir URL içerir) çözer.
ForcePoint’e göre, söz konusu komut dosyası kötü niyetli bir şekilde kullanıcı e-postalarını ve parolalarını ele geçiriyor, girdileri doğruluyor ve çalınan kimlik bilgilerini, kullanıcı IP’si ve tarayıcı verileriyle birlikte eş zamanlı AJAX aracılığıyla bir Telegram botuna iletiyor.
Potansiyel sosyal mühendislik için alan adı logosu getirme özelliğini kullanıyor ve varsayılan form gönderiminin, sayfanın yeniden yüklenmesi olmadan eylemlerini yürütmesini engelliyor; bu da karmaşık bir kimlik avı girişimine işaret ediyor.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo