Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) tarafından yakın zamanda yapılan bir araştırma, kullanıcı kimlik bilgilerini çalmak için dünya çapında tanınan ve bölgesel markalardan yararlanan karmaşık bir kimlik avı kampanyasını ortaya çıkardı; bu, rakip ticari faaliyetlerde ve erişimde bir artışa işaret ediyor.
Geleneksel kimlik avı tehditlerinden farklı olarak bu operasyon, çoğu zaman doğrudan e-posta yoluyla satın alma belgeleri veya faturalar olarak kamufle edilen, titizlikle hazırlanmış HTML ekleri sunar ve birçok standart güvenlik kontrolünü başarıyla atlatır.
Bu kampanyada saldırganlar, RFQ_4460-INQUIRY.HTML gibi zararsız dosya adları taşıyan HTML ekleri içeren e-postalar dağıtır.
Bu dosyalar, fiyat teklifi talepleri (RFQ) veya faturalar gibi rutin iş iletişimlerini taklit eder ve alıcıları, ekteki belgeyi “görüntülemek için oturum açmaya” teşvik eder.
Bir tarayıcıda veya bazı durumlarda uyumlu bir PDF görüntüleyicide görüntülendiğinde, HTML dosyası bulanık bir fatura arka planı ve genellikle Adobe veya diğer güvenilir markaların temalı olduğu bir oturum açma istemi görüntüler.
Tipik kimlik avı taktiklerinin aksine, şüpheli URL’ler veya harici web barındırma içerilmez. Doğrudan dosyanın içine yerleştirilen kötü amaçlı kod, kimlik bilgilerinin girildiği andan itibaren JavaScript destekli bir kimlik bilgisi yakalama sürecini başlatıyor.
Kimlik Bilgisi Hırsızlığı ve Sızıntısı
Kurbanlar, e-postalarını ve şifrelerini sahte oturum açma yöntemiyle gönderdikleri zaman, kimlik bilgilerini, cihaz IP adreslerini ve kullanıcı aracısı verilerini toplayan bir JavaScript rutinini tetikliyor.
Toplanan bu veriler, geleneksel Komuta ve Kontrol (C2) altyapısını atlayan ve güvenlik ekipleri tarafından tespit edilmesini zorlaştıran bir yöntem olan HTTP POST istekleri aracılığıyla Telegram Bot API’sini kullanarak saldırgan tarafından kontrol edilen Telegram botlarına sızdırılıyor.
İki temsili kötü amaçlı yazılım örneği, kampanyanın teknik karmaşıklığı hakkında bilgi sağlar:
- Örnek 1: CryptoJS AES şifrelemesini kullanır, kimlik bilgilerini, IP’yi ve cihaz bilgilerini toplar, kullanıcıların kimlik bilgilerini yeniden girmesini gerektirir (başarı oranlarını artırır), kurbanın IP’sini doğrulamak için api.ipify.org gibi hizmetleri kullanır ve yakalama sonrasında meşru bir Adobe web sitesine yönlendirir.
- Örnek 2: Kimlik bilgilerinin sızması için yerel Getirme API’sini kullanır, tekrarlanan girişleri yönlendirmek için “geçersiz oturum açma” hatalarını görüntüler ve analistler tarafından kullanılan klavye kısayollarını, fare eylemlerini ve tarayıcı araçlarını engelleyerek adli tıp önleme uygular.
Her iki varyant da, kimlik bilgisi dağıtımı için Telegram botlarına temel bir güven duyulduğunu, altyapının etkili bir şekilde merkezileştirilmesini ve tespit zorluklarını API tabanlı iletişimlere kaydırdığını ortaya koyuyor.
Saldırganlar, kimlik avı kampanyasının erişimini ve inandırıcılığını en üst düzeye çıkarmak için taktiksel olarak çeşitli küresel ve bölgesel markaları taklit eder. Adobe, Microsoft, WeTransfer, DocuSign, FedEx, DHL, Telekom Deutschland ve Roundcube gibi yüksek profilli markaların tümü taklit edildi. Şablonlar ve markalama, özgünlüğü güçlendirmek için sıklıkla bulanık arka planlar ve modallar kullanılarak hedef bölgeye ve sektöre göre özelleştirilir.
Kampanya özellikle Çek Cumhuriyeti, Slovakya, Macaristan ve Almanya dahil olmak üzere Orta ve Doğu Avrupa’da aktiftir. Hedeflenen sektörler, satın almayla ilgili e-postaların ve belge iş akışlarının rutin olduğu geniş kapsamlı tarım, otomotiv, inşaat, medya, kamu, perakende, imalat ve BT sektörleridir.
Modüler ve Ölçeklenebilir Tehdit
Tehdit altyapısının analizi, birden fazla Telegram botunu açığa çıkardı ve bu durum, birden fazla farklı tehdit aktörünün olaya karıştığını kanıtladı.
Saldırganların modüler araç seti, hızlı marka değiştirme ve dil yerelleştirme olanağı sağlayarak tespit işlemini daha da karmaşık hale getiriyor. Temalı değişkenlerde yinelenen bot tokenları gibi altyapının yeniden kullanımı da yaygındır.
Kampanyanın gelişimi, ileri düzeyde gizleme (AES şifreleme dahil), geliştirilmiş anti-analiz özellikleri (adli tıp araçlarını engelleme), geliştirilmiş kullanıcı arayüzü ve genişletilmiş dil desteği ile işaretlenmiştir. Bazı örnekler, sızıntıyı yalnızca gerçek kimlik bilgileri girildiğinde gerçekleştirerek, kötü amaçlı yazılımın korumalı alanlarda tespit edilmesinden kaçmasına olanak tanır.
Güvenlik ekiplerine, e-posta ağ geçidindeki HTML eklerini engellemeleri, Telegram API’sine erişimi kısıtlamaları ve güvenlik ihlali işaretleri açısından kullanıcı etkinliğini geriye dönük olarak incelemeleri tavsiye edilir.
Güvenilir marka kimliğine bürünme ve yeni teknik kontrollerin bir karışımından yararlanan bu kampanya, dünya çapındaki kuruluşlar için ölçeklenebilir ve devam eden bir tehdidi temsil ediyor.
Kuruluşlar proaktif kalmalı, teknik savunmaları sürekli güncellemeli ve çalışanları bu gelişen kimlik avı taktikleri konusunda eğitmelidir. Saldırganlar daha karmaşık stratejiler geliştirdikçe, kapsamlı e-posta incelemesi, kullanıcı eğitimi ve tehdit istihbaratı entegrasyonu, etkili hafifletme için kritik temeller haline geliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.