Haber
Araştırmacılar, yeni bir kimlik avı taktiğinin yükselişini vurguluyor: Süresi dolmuş duyurarak kurbanları kandırmak için PDF belgelerini kullanan bir kampanya Amazon Prime üyelikleri.
Kullanıcılar e -posta ile hedeflenir ve PDF’lere tıkladıktan sonra, kişisel bilgilerini ve kredi kartı bilgilerini girmeleri istenen Amazon’u taklit eden sayfalara alınır.
Araştırmacılar Kampanyayı keşfeden Palo Alto Networks Unit42’de, bu kimlik avı sitelerine bağlantıları olan 31 PDF dosyası topladı, bunların hiçbiri Virustotal’a gönderilmedi.
Kimlik avı saldırısındaki olaylar zinciri, PDF ekini içeren e -posta ile başlar. PDF’den bağlantıya tıkladıktan sonra, kurban ilk URL’den Duckdns alt alanlarına yönlendirilir[.]Kimlik avı web sitesine ev sahipliği yapan org.
“Bu kimlik avı web siteleri, taramaları ve diğer analiz girişimlerini yönlendirmek için gizleme kullanıyor,” Araştırmacılar yazdı. Başlangıç ve ara evreleme URL’lerinin çoğu için bu alanlar aynı IP adresinde barındırılır.
Kampanyada, potansiyel kurbanların dikkatli olması gereken dört başlangıç bağlantısı vardır:
-
Hxxps[:]//redirjhxnasmdhuewfmkxchbnvjxfasdfasd.dickdns[.]Org/Xozlamh
-
Hxxps[:]//edixajcdkashdufzxcsfgfasd.dickdns[.]Org/ccq8skn
-
Hxxps[:]//zmehiasdhg7uw.rediirectme[.]net/xn28lga
-
Hxxps[:]//rediahxjasdusgasdzxcsdefwgasdgasdasdzxdz.dickdns[.]org/agunggg1298w862847
KnowBe4’te e -postayla yapılan bir açıklamada, Javvad Malik, “Kullanıcıların bir PDF dosyası içeren bir e -posta ekini açmaya teşvik edildiği ilk saldırı vektörü, e -postaların uyanık kalmasının önemini açık bir hatırlatmadır.” Dedi. Karanlık okuma. “E -postalar hala kimlik avı için en popüler saldırı caddesi olmaya devam ediyor, bu nedenle insanların şüpheli etkinlikleri etkili bir şekilde tanımlayabilmek ve rapor edebilmek için ellerinde doğru eğitim ve araçlara sahip olmaları önemlidir.”