Amazon Web Services (AWS) oturum açma bilgilerini hedefleyen yeni bir kimlik avı kampanyası, oturum açma kimlik bilgilerinizi çalmak amacıyla kimlik avı sitelerini Google Arama’ya gizlice sokmak için Google reklamlarını kötüye kullanıyor.
Kampanya, analistleri kötü amaçlı arama sonuçlarını 30 Ocak 2023’te gözlemleyen Sentinel Labs tarafından keşfedildi. Kötü reklamlar, “aws” için arama yapıldığında Amazon’un tanıtılan kendi arama sonucunun hemen ardından ikinci sırada yer aldı.
Başlangıçta, tehdit aktörleri reklamı doğrudan kimlik avı sayfasına bağladı. Ancak, daha sonraki bir aşamada, Google’ın reklam sahtekarlığı tespit sistemleri tarafından tespit edilmekten kaçınması muhtemel olan bir yeniden yönlendirme adımı eklediler.
Kötü amaçlı Google reklamları, kurbanı bir blogcu web sitesine (“us1-eat-aws.blogspot[.]com”) meşru bir vegan yemek blogunun bir kopyası olan saldırganların kontrolü altındadır.
Site, kurbanı otomatik olarak orijinal görünmesi için yapılmış sahte AWS oturum açma sayfasını barındıran yeni bir web sitesine yönlendirmek için ‘window.location.replace’ kullanır.
Kurbandan kök veya IAM kullanıcısı olup olmadığını seçmesi ve ardından e-posta adresini ve şifresini girmesi istenir. Bu seçenek, tehdit aktörlerinin çalınan verileri değer ve fayda olmak üzere iki kategoriye ayırmasına yardımcı olur.
Sentinel Labs tarafından görülen kimlik avı etki alanları şunlardır:
- aws1-konsol-giriş[.]biz
- aws2-konsol-giriş[.]xyz
- aws1-ec2-konsol[.]iletişim
- aws1-us-batı[.]bilgi
Kimlik avı sayfalarının ilginç bir özelliği, yazarlarının sağ tıklamaları, orta fare düğmelerini veya klavye kısayollarını devre dışı bırakan bir JavaScript işlevi içermesidir.
Sentinel Labs, bunun muhtemelen kullanıcıların bilerek veya yanlışlıkla sayfadan ayrılmasını önleyen bir mekanizma olduğunu söylüyor.
Güvenlik firması, JavaScript kod yorumlarında ve değişkenlerinde bir dil olarak Portekizce kullanıldığını, blogger etki alanının kök sayfasının ise bir Brezilya tatlı işletmesini taklit ettiğini bildiriyor. Son olarak, alan adlarını kaydetmek için kullanılan Whois bilgileri Brezilyalı bir kişiye işaret ediyor.
Sentinel Labs, kötüye kullanımı kimlik avı sitelerini koruyan CloudFlare’e bildirdi ve internet şirketi hesabı hızla kapattı. Ancak, bağlandıkları siteler artık çevrimiçi olmasa bile kötü amaçlı Google Reklamları kalır.
Google Ads, son zamanlarda her türden siber suçlu tarafından yoğun bir şekilde kötüye kullanılıyor ve potansiyel kurbanlara ulaşmak için alternatif bir yöntem olarak hizmet ediyor.
Bu reklamlar son zamanlarda şifre yöneticisi hesaplarını dolandırıcılık yapmak, fidye yazılımı dağıtımı için ilk ağ uzlaşmasını sağlamak ve meşru yazılım araçlarını maskeleyen kötü amaçlı yazılım dağıtımı için kullanıldı.
Geçen hafta Sentinel Labs, virüsten koruma araçları tarafından tespit edilmesini zorlaştıran kötü amaçlı yazılımları yaymak için Google Ads ile birlikte sanallaştırma teknolojisini kullanan bir kampanya keşfetti.