Siber güvenlik araştırmacıları, hizmet olarak kimlik avı (PhaaS) araç setini kullanan kötü amaçlı e-posta kampanyaları konusunda uyarıda bulunuyor. Rock yıldızı 2FA Microsoft 365 hesap kimlik bilgilerini çalmak amacıyla.
“Bu kampanyada bir AitM kullanılıyor [adversary-in-the-middle] Trustwave araştırmacıları Diana Solomon ve John Kevin Adriano, saldırganların kullanıcı kimlik bilgilerini ve oturum çerezlerini ele geçirmesine olanak tanıyarak, çok faktörlü kimlik doğrulama (MFA) etkinleştirilmiş kullanıcıların bile hâlâ savunmasız olabileceği anlamına gelen bir saldırı gerçekleştirdiğini belirtti.
Rockstar 2FA’nın DadSec (diğer adıyla Phoenix) kimlik avı kitinin güncellenmiş bir versiyonu olduğu değerlendiriliyor. Microsoft, Dadsec PhaaS platformunun geliştiricilerini ve dağıtıcılarını Storm-1575 adı altında takip ediyor.
Öncekiler gibi, kimlik avı kiti de ICQ, Telegram ve Mail.ru gibi hizmetler aracılığıyla iki haftalık 200 ABD Doları (veya ayda 350 ABD Doları) tutarında bir abonelik modeli altında tanıtılıyor ve bu da çok az teknik uzmanlığa sahip olan veya hiç teknik uzmanlığı olmayan siber suçluların kurulum yapmasına olanak tanıyor. geniş ölçekte kampanyalar.
Rockstar 2FA’nın tanıtılan özelliklerinden bazıları arasında iki faktörlü kimlik doğrulama (2FA) bypass, 2FA çerez toplama, antibot koruması, popüler hizmetleri taklit eden giriş sayfası temaları, tamamen tespit edilemeyen (FUD) bağlantılar ve Telegram bot entegrasyonu yer alıyor.
Ayrıca müşterilerin kimlik avı kampanyalarının durumunu takip etmelerine, URL’ler ve ekler oluşturmalarına ve hatta oluşturulan bağlantılara uygulanan temaları kişiselleştirmelerine olanak tanıyan “modern, kullanıcı dostu bir yönetici paneline” sahip olduğu iddia ediliyor.
Trustwave tarafından tespit edilen e-posta kampanyaları, güvenliği ihlal edilmiş hesaplardan veya spam araçlarından gönderilen mesajların içine yerleştirilmiş URL’ler, QR kodları ve belge ekleri gibi çeşitli ilk erişim vektörlerinden yararlanır. E-postalar, dosya paylaşım bildirimlerinden e-imza taleplerine kadar çeşitli cazibe şablonlarından yararlanıyor.
Kit, antispam tespitini aşmak için bir mekanizma olarak meşru bağlantı yeniden yönlendiricilerini (ör. kısaltılmış URL’ler, açık yönlendirmeler, URL koruma hizmetleri veya URL yeniden yazma hizmetleri) kullanmanın yanı sıra, AitM kimlik avının otomatik analizini caydırmak amacıyla Cloudflare Turnikesini kullanan antibot kontrollerini de içerir. sayfalar.
Trustwave, platformun kimlik avı bağlantılarını barındırmak için Atlassian Confluence, Google Doküman Görüntüleyici, LiveAgent ve Microsoft OneDrive, OneNote ve Dynamics 365 Customer Voice gibi meşru hizmetleri kullandığını gözlemlediğini belirterek, tehdit aktörlerinin bu tür güvenden yararlandığını vurguladı. platformlar.
Araştırmacılar, “Kimlik avı sayfası tasarımı, HTML koduna uygulanan çok sayıda karartmaya rağmen taklit edilen markanın oturum açma sayfasına çok benziyor” dedi. “Kullanıcının kimlik avı sayfasında sağladığı tüm veriler anında AiTM sunucusuna gönderilir. Sızdırılan kimlik bilgileri daha sonra hedef hesabın oturum çerezini almak için kullanılır.”
Açıklama, Malwarebytes’in, e-posta alıcılarını sahte bir oturum açma formuna Microsoft OneDrive kimlik bilgilerini girmeleri için kandırmak için .HTM ekleri kullanan ve daha sonra bir Telegram botuna sızdırılan Beluga adlı bir kimlik avı kampanyasını ayrıntılarıyla açıklamasıyla geldi.
Sosyal medyadaki kimlik avı bağlantıları ve yanıltıcı bahis oyunu reklamlarının, MobiDash gibi reklam yazılımı uygulamalarının yanı sıra, hızlı geri dönüş vaadi kisvesi altında kişisel verileri ve parayı çalan sahte finansal uygulamaları da teşvik ettiği tespit edildi.
Group-IB CERT analisti Mahmoud Mosaad, “Reklamı yapılan bahis oyunları, para kazanmak için meşru fırsatlar olarak sunuluyor, ancak bunlar, kullanıcıları bir daha asla göremeyebilecekleri para yatırmaları için kandırmak üzere dikkatle tasarlandı.” dedi.
“Dolandırıcılar, bu dolandırıcı uygulamalar ve web siteleri aracılığıyla kayıt süreci sırasında kullanıcılardan hem kişisel hem de finansal bilgileri çalacaktır. Mağdurlar önemli mali kayıplara maruz kalabilir ve bazılarının 10.000 ABD Dolarından fazla kayıp bildirdiği bildirilmektedir.”