Araştırmacılar, kimlik bilgisi hırsızlığı kampanyalarını yürütmek için Cloudflare’in ücretsiz bir alan adı hizmeti olanworker.dev’den yararlanan karmaşık bir kimlik avı taktiği belirlediler.
Yöntem, herhangi bir markanın kimliğine bürünebilen, şüphelenmeyen kullanıcıları aldatmayı ve tespit edilmekten kaçınmayı amaçlayan önemli bir teknik ustalığa sahip genel bir kimlik avı sayfası içerir.
“Workers-playground-broken-king-d18b.supermissions.workers.dev” URL’sinde barındırılan kimlik avı sayfası, kurbanların kimlik bilgilerini toplamak için tasarlandı.
Saldırganlar, genel kimlik avı sayfasının belirli bir markaya aitmiş gibi görünmesini sağlamak için akıllı bir özelleştirme tekniği kullanır.
Bir çalışanın e-posta adresinin URL’ye “#” simgesiyle ayrılmış şekilde eklenmesiyle sayfa, dinamik olarak hedeflenen markanın oturum açma portalının görünümünü alır.
Örneğin, URL’ye “#[email protected]” ifadesinin eklenmesi, sayfayı sahte bir Google giriş arayüzüne dönüştürür.
Kimlik avı sayfası, meşru kuruluşun alan adının (ör. google.com) görüntüsünü almak için ücretsiz ekran görüntüsü oluşturma hizmeti Thum.io’yu kullanır.
Bu görüntü daha sonra kimlik avı sitesinin orijinalliğini artırmak ve kurbanları gerçek bir giriş sayfasında olduklarına inandırmak için arka plan olarak kullanılır.
Kimlik Bilgisi Süzülmesi
Kurbanlar kimlik avı sayfasına kimlik bilgilerini girdiklerinde, çalınan veriler “hxxps://kagn” adresinde barındırılan uzak bir uç noktaya sızıyor.[.]org/zebra/nmili-wabmall.php.”
Kimlik avı sayfasının Belge Nesne Modeli’nin (DOM), dolandırıcılık motorları tarafından algılanmasını önlemek için JavaScript (dosya: myscr939830.js) kullanılarak karartılmıştır.
Her ne kadar gizleme, karmaşıklıktan yoksun olsa ve araştırmacılar tarafından kolayca çözülebilse de, bu önlem, daha az gelişmiş tespit yöntemlerini etkili bir şekilde caydırıyor.
Kaynak kodu, gizlenmesinin ardından sayfanın, markaya özel kimlik avı arayüzleri oluşturmak için Google’ın favicon alıcısı ve Thum.io gibi ücretsiz hizmetleri kullanarak dinamik olarak arka planları nasıl oluşturduğunu ortaya çıkardı.
Ayrıca kimlik avı sayfası, kullanıcıların kaynak kodunu görüntülemesini engelleyerek tespit ve analiz çalışmalarını daha da karmaşık hale getirir.
Bu işlevsellik, güvenlik ekiplerini hayal kırıklığına uğratmak için sıklıkla kullanılan bir taktik olan kaynak kodu erişimini devre dışı bırakmak için JavaScript kontrollerini değiştirerek elde edilir.
Kimlik Avı Taktiklerinin Daha Geniş Kullanımı
JavaScript dosyasının (myscr939830.js) analizi, bu dosyanın Cloudflare’in r2.dev platformunda barındırılan diğer kimlik avı kampanyalarında da kullanıldığını ortaya çıkardı.
Örnek bir URL, aynı komut dosyasının ek kimlik avı saldırılarını nasıl desteklediğini gösterdi.
Ek olarak araştırmacılar, bu gizlenmiş betiğin ücretsiz blockchain depolama hizmeti web3.storage aracılığıyla dağıtıldığını buldu; bu da saldırganların merkezi olmayan barındırma çözümleri kullandığını gösteriyor.
Bu kimlik avı siteleri tarafından sızdırılan kimlik bilgileri “kagn” etki alanına gönderilir.[.]org” tehdit aktörüyle bağlantılı.
Altı yıl önce kaydedilen ve WordPress’te barındırılan bu alan adının, “/zebra/nmili-wabmall.php” uç noktası bu kampanya için aktif olarak kullanıldığı için, saldırgan tarafından ele geçirildiği veya arka kapının açıldığı görülüyor.
Bu gelişmiş kimlik avı tehditlerine karşı koymak için kuruluşların, çalışanlarını kimlik avı girişimlerini tespit etme ve raporlama konusunda eğitmeleri tavsiye edilir.
CloudSek’e göre çalışanların farkındalığını ve yanıt verme yeteneklerini test etmek için kimlik avı simülasyonlarının düzenli olarak yapılması gerekiyor.
Ayrıca kuruluşlar, müşterileri bu tür dolandırıcılıklara karşı dikkatli olmaya ve hassas bilgileri girmeden önce web sayfalarını doğrulamaya teşvik eden doğrudan müşteriye yönelik (D2C) farkındalık kampanyaları da düzenlemelidir.
Are you from SOC/DFIR Teams? - Analyse Malware Files & Links with ANY.RUN Sandox -> Try for Free