Amazon Prime üyelerini hedefleyen gelişmiş bir kimlik avı kampanyası, kredi kartı bilgilerini ve diğer hassas verileri çalmayı amaçlayan ortaya çıktı.
Siber güvenlik uzmanları, şüphesiz kurbanları aldatmak için PDF eklerini, yönlendirmelerini ve akıllıca hazırlanmış kimlik avı alanlarından yararlanan karmaşık bir saldırı zinciri belirlediler.
Kampanya, Amazon’u taklit eden kimlik avı sitelerine bağlantılar içeren kötü niyetli PDF dosyalarıyla başlıyor.
Araştırmacılar, her biri benzersiz bir SHA256 karma olan 31 PDF dosyası topladılar.
Unit42’deki güvenlik analistleri, bu PDF’lerin kullanıcıları bir dizi URL aracılığıyla yönlendirdiğini ve sonuçta kredi kartı bilgilerini yakalamak için tasarlanmış hileli bir siteye yol açtığını belirtti.
Are you from SOC/DFIR Teams? - Analyse Malware Files & Links with ANY.RUN Sandox -> Try for Free
İlk Saldırı Vektörü
Saldırı zinciri tipik olarak şu deseni takip eder:-
- Kullanıcılar PDF ekli bir e -posta alır
.webp)
- PDF, ilk URL’ye bir bağlantı içerir
.webp)
- Bu URL, Duckdns alt alanına yönlendirir[.]org
.webp)
- Kimlik avı sitesi daha sonra kredi kartı verilerini çalmaya çalışır
Araştırmacılar bu kimlik avı operasyonunun birkaç temel bileşenini belirlediler:
- PDF Hashes: 31 Benzersiz SHA256 Hashes, kötü niyetli PDF dosyalarıyla ilişkilendirilmiştir.
- İlk URL’ler: PDFS’deki çoğu bağlantı ördek alt alanlarına işaret ediyor[.]Org, RedirectMe kullanan birkaç kişi[.]açık.
- Gizleme teknikleri: Kimlik avı web siteleri, taramaları yönlendirmek için gizleme ve siteleri iyi huylu hale getirme girişimlerini kullanır.
.webp)
- Altyapı: İlk URL’ler ve ara evreleme URL’leri için alanlar genellikle aynı IP adreslerinde barındırılır.
24 Ocak 2025’te gözlemlenen tipik bir saldırı akışı aşağıdaki gibi ilerledi:-
- Hxxps[:]//edixajcdkashdufzxcsfgfasd.dickdns[.]Org/ccq8skn
- Hxxps[:]//ahyewifjksdhfjhjgsdfhjdSasdzxcs.Duckdns[.]org/? Doğrula
- Meşru Amazon sayfalarını taklit etmek için birden fazla CSS ve Favicon istekleri
- Son Kimlik Yardım Sayfası: HXXPS[:]//ahyewifjksdhfjhjgsdfhjdSasdzxcs.Duckdns[.]org/güvenlik-kontrol/güvenli? _ts = e69618fc9
Kampanyanın erişimi önemlidir ve sadece Haziran 2024’te Amazon’un ortaya çıkmasıyla ilişkili 1.230’dan fazla yeni alan. Endişe verici bir şekilde, bu alanların% 85’i kötü niyetli veya şüpheli olarak işaretlendi.
Etki alanı kayıtlarındaki bu artış, Amazon Prime Day gibi büyük alışveriş etkinliklerinin yaklaşımına denk geliyor ve saldırganların artan çevrimiçi alışveriş etkinliğinden yararlanma niyetini gösteriyor.
Bu tehditle mücadele etmek için uzmanlar birkaç önlem almanızı önerir. URL’leri, özellikle Amazon’dan geldiğini iddia edenleri dikkatlice inceleyin ve ziyaret ettiğiniz web sitelerinin HTTPS kullanmasını ve güvenlik için bir asma kilit simgesi görüntülediğinden emin olun.
Kimlik avı denemeleri olabileceğinden, acil eylemi teşvik eden veya hassas bilgiler talep eden e -postalara dikkat edin. Güçlü, benzersiz şifreler kullanarak ve mümkün olduğunca çok faktörlü kimlik doğrulamayı etkinleştirerek Amazon hesabınızı koruyun.
Amazon, 2023’te taklit etme planlarında kullanılan 40.000’den fazla kimlik avı web sitesinin ve 10.000 telefon numarasının yayından kaldırma işlemlerini başlattığını belirtti.
Şirket ayrıca müşterilerin otantik Amazon iletişimini belirlemelerine yardımcı olmak için gelişmiş e -posta doğrulama teknolojisi kullanıyor.
Bilgilendirilmiş olarak ve en iyi güvenlik uygulamalarını takip ederek, alışveriş yapanlar kendilerini bu tür dolandırıcılıklara düşmüş kurbanlardan daha iyi koruyabilirler.