Tehdit avcıları, çalışan mobil cihazları hedeflemek ve bordro sahtekarlıklarını kolaylaştırmak için arama motoru optimizasyonu (SEO) zehirleme tekniklerini kullanan yeni bir kampanya ortaya koydu.
İlk olarak Mayıs 2025’te Reliaquest tarafından imalat sektöründe isimsiz bir müşteriyi hedefleyen faaliyet, çalışan bordro portalına erişmek ve maaş çekimlerini tehdit aktörünün kontrolü altındaki hesaplara yönlendirmek için sahte giriş sayfalarının kullanımı ile karakterize edilir.
Siber güvenlik şirketi, geçen hafta yayınlanan bir analizde, “Saldırganın altyapısı, trafiğini maskelemek, tespitten kaçmak ve geleneksel güvenlik önlemlerini aşmak için tehlikeye atılan ev ofis yönlendiricileri ve mobil ağlar kullandı.” Dedi.
Diyerek şöyle devam etti: “Kuruluşun giriş sayfasını taklit eden sahte bir web sitesine sahip olan düşman, özel olarak çalışan mobil cihazları hedefledi. Çalınan kimlik bilgileriyle donatılmış, düşman kuruluşun bordro portalına erişim kazandı, doğrudan depozito bilgilerini değiştirdi ve çalışanların maaşlarını kendi hesaplarına yönlendirdi.”
Saldırılar belirli bir hackleme grubuna atfedilmemiş olsa da, Reliaquest, 2024’ün sonlarında araştırdığı iki benzer olay nedeniyle daha geniş, devam eden bir kampanyanın bir parçası olduğunu söyledi.
Her şey, bir çalışanın Google gibi arama motorlarında şirketlerinin bordro portalını aradığında, aldatıcı benzeri web siteleri sponsorlu bağlantıları kullanarak sonuçların en üstünde yer alarak başlar. Bogus bağlantılarını tıklayanlar, bir mobil cihazdan ziyaret edildiğinde bir Microsoft giriş portalını taklit eden bir kimlik avı sayfasına yönlendiren bir WordPress sitesine yönlendirilir.
Sahte açılış sayfasına girilen kimlik bilgileri daha sonra saldırgan kontrollü bir web sitesine eklenirken, aynı zamanda itici tarafından güçlendirilen bir Push bildirimleri API kullanarak çalınan şifrelerin tehdit oyuncusunu uyarmak için iki yönlü bir WebSocket bağlantısı oluşturulur.
Bu, saldırganlara değiştirilmeden önce kimlik bilgilerini mümkün olan en kısa sürede yeniden kullanma fırsatı verir ve bordro sistemine yetkisiz erişim kazanır.
Bunun da ötesinde, çalışan mobil cihazların hedeflenmesi, tipik olarak masaüstü bilgisayarlarda bulunan kurumsal sınıf güvenlik önlemlerinden yoksun olmaları ve kurumsal ağın dışına bağlanmaları ve görünürlüğü etkili bir şekilde azaltmaları ve araştırma çabalarını engellemeleri nedeniyle iki yönlü avantajlar sunmaktadır.
Reliaquest, “Güvenlik çözümlerinden ve günlüğe kaydedilmeden yoksun korunmasız mobil cihazları hedefleyerek, bu taktik sadece tespitten kaçınmakla kalmaz, aynı zamanda kimlik avı web sitesini analiz etme çabalarını da bozar.” Dedi. Diyerek şöyle devam etti: “Bu, güvenlik ekiplerinin siteyi taramasını ve uzlaşma (IOC) tehdit beslemelerinin göstergelerine ekleyerek azaltma çabalarını daha da karmaşıklaştırmasını engelliyor.”
Tespit tespiti için daha fazla girişimde, kötü niyetli giriş girişimlerinin, Asus ve Pakedge gibi markalardan da dahil olmak üzere ev ofis yönlendiricileriyle ilişkili konut IP adreslerinden kaynaklandığı bulunmuştur.
Bu, tehdit aktörlerinin güvenlik kusurları, varsayılan kimlik bilgileri veya diğer yanlış yapılandırmalar gibi zayıflıklardan yararlandığını gösterir. Daha sonra tehlikeye atılan yönlendiriciler, sonunda siber suçlulara kiralanan proxy botnetlerine katılan kötü amaçlı yazılımlarla enfekte olur.
Reliaquest, “Saldırganlar proxy ağları, özellikle konut veya mobil IP adreslerine bağlı olanlar kullandıklarında, kuruluşların tespit etmesi ve araştırması için çok zorlaşıyorlar.” Dedi. “IP adresleri daha önce istismar edildiği için genellikle işaretlenen VPN’lerin aksine, konut veya mobil IP adresleri saldırganların radarın altında uçmasına ve kötü niyetli olarak sınıflandırılmasını önlemelerine izin veriyor.”
“Dahası, proxy ağları, saldırganların, olağandışı veya şüpheli yerlerden oturum açmalarını işaretlemek için tasarlanmış güvenlik önlemlerini atlayarak, trafiğini hedef kuruluşla aynı coğrafi konumdan kaynaklanıyor gibi görünmesine izin veriyor.”
Açıklama, Hunt.io, bir kişi tarafından paylaşılan dosyalara erişime izin verme bahanesi altında Microsoft Outlook Outlook Oturum Açma kimlik bilgilerini çalmak için sahte bir Adobe Paylaşılan Dosya Hizmeti Web sayfasını kullanan bir kimlik avı kampanyası olarak gelir. Şirket başına sayfalar W3LL Kimlik Avı Kiti kullanılarak geliştirilmiştir.
Ayrıca, Amazon, Paypay, MyJCB, Apple, Orico ve Rakuten gibi tanınmış tüketici ve finans markalarını taklit ederek Japon organizasyonlarını aktif olarak hedeflemek için kullanılan yeni bir kimlik avı kitinin Koleji Cogui’nin keşfedilmesiyle de çakışıyor. Kit kullanan kampanyaların bir parçası olarak Ocak ve Nisan 2025 arasında 580 milyon e -posta gönderildi.
Kurumsal güvenlik firması Proofpoint, bu ay yayınlanan bir analizde, “Cogui, otomatik tarama sistemleri ve kum havuzlarından algılamayı önlemek için coğrafi kaplama, başlık eskrim ve parmak izi de dahil olmak üzere gelişmiş kaçırma tekniklerini kullanan sofistike bir kittir.” Dedi. “Kampanyaların amacı kullanıcı adlarını, şifreleri ve ödeme verilerini çalmaktır.”
Saldırılarda gözlemlenen kimlik avı e -postaları, kimlik bilgisi avlama web sitelerine yol açan bağlantıları içerir. Bununla birlikte, Cogui kampanyalarının çok faktörlü kimlik doğrulama (MFA) kodlarını toplamak için yetenekleri içermemesi dikkat çekicidir.
Cogui’nin en az Ekim 2024’ten beri kullanıldığı söyleniyor ve bazı benzerlikleri başka bir tanınmış kimlik avı aracı seti ile paylaştığına inanılıyor, bu da birincisinin aynı zamanda berrak ve deniz fenerini içeren aynı Çin phaas ekosisteminin bir parçası olabileceğini düşündürüyor.
Bununla birlikte, Darcula’yı Cogui’den ayıran önemli bir yönü, birincisinin daha fazla mobil ve smipting’e odaklanması ve kredi kartı detaylarını çalmayı amaçlamasıdır.
Hacker News’e yaptığı açıklamada, “Darcula hem maliyet hem de kullanılabilirlik açısından daha erişilebilir hale geliyor, bu yüzden gelecekte önemli bir tehdit oluşturabilir.” Dedi. “Öte yandan, Lucid radarın altında kalmaya devam ediyor. Sık sık yaygın dağıtım hizmetlerini kullandıkları için sadece SMS mesajlarına veya URL kalıplarına bakarak kimlik avı kitlerini tanımlamak zor.”
Çin siber suç manzarasından ortaya çıkan yeni özelleştirilebilir sminging kiti, servis sunumunu otomatikleştirmek için telgraf kanalları ve etkileşimli botlar ağı kullanan Panda Shop. Kimlik avı sayfaları, kişisel bilgileri çalmak için popüler markaları ve devlet hizmetlerini taklit etmek için tasarlanmıştır. Kalan kredi kartı verileri yeraltı kartı dükkanlarına gönderilir ve diğer siber suçlulara satılır.
“Özellikle, Smishing ile ilgili Çin siber suçlu sendikalar, dokunulmaz hissettikleri için yüzsüzdür.” Dedi. Diyerek şöyle devam etti: “İletişimlerinde ABD kolluk kuvvetlerini önemsemediklerini vurguladılar. Çin’de ikamet ederek, tam bir eylem özgürlüğünden yararlanıyorlar ve birçok yasadışı faaliyette bulunuyorlar.”
Mart 2025’te Panda Shop’u tanımlayan Resculity, tehdit oyuncusunun, Smishing Triad’ınkine benzer bir hizmet olarak suç modeli işlettiğini ve müşterilere, Bulk’ta satın alınan tehlikeye atılan Apple ve Gmail hesaplarını kullanarak Apple IMessage ve Android RC’leri aracılığıyla dağıtım mesajlarını sunduğunu söyledi.
Panda Shop’un kullanılan kimlik avı kitlerindeki benzerliklere dayanarak triad üyelerini içerdiğine inanılıyor. Çok sayıda tehdit aktörünün Google Cüzdan ve Apple Pay dolandırıcılığı için Smingsing kitinden yararlandığı da gözlendi.
Resecurity, “Sminging kampanyalarının arkasındaki aktörler, tüccar sahtekarlığı ve kara para aklama faaliyetlerine katılanlarla sıkı bir şekilde bağlantılıdır.” Dedi. “Smishing, siber suçlulara kurbanlardan toplanan önemli miktarda tehlike verileri sağlayan kartlama faaliyetlerinin arkasındaki ana katalizörlerden biridir.”