Sessiz Push Tehdit Analistleri son zamanlarda X/Twitter’ın reklam ekran URL özelliğinde kullanıcıları aldatmak için bir güvenlik açığından yararlanan sofistike bir finansal aldatmaca ortaya çıkardılar.
Bu saldırı, platformun URL ekran mekanizmasını, “CNN’den” gibi meşru görünümlü bir bağlantı sunmak için manipüle eder.[.]com, ”şüphesiz kurbanları kötü niyetli bir kripto para birimi dolandırıcı sitesine yönlendirirken Apple’ın markasını taklit ediyor.
Hayali bir “Apple Itoken” etrafında toplanan bu kampanya, sosyal medya reklam sahtekarlıklarında yeni bir aldatma seviyesini temsil ediyor ve kullanıcıları zararlı içerikle etkileşime sokmaya yönelik teknik boşluklardan yararlanıyor.
.png
)
X/Twitter reklamlarında sahte url’ler
Bu saldırının çekirdeği, X/Twitter’ın URL kullanma ve meta veri alma sürecinden bir istismarda yatmaktadır.
Platformda bir URL gönderildiğinde, X/Twitter’ın botu, bir önizleme kartı oluşturmak için tutarlı bir kullanıcı aracısı (UA) dizesi kullanarak meta verileri getirir.
Kötü niyetli aktörler, sunucularını botu CNN gibi iyi huylu bir siteye yönlendirecek şekilde yapılandırarak sömürüyor[.]com, gerçek kullanıcılar iPresale gibi hileli bir alana yeniden yönlendirilirken[.]dünya.
Alternatif olarak, saldırganlar bit gibi URL kısaltmalarını kullanır[.]Başlangıçta meta veri koleksiyonu için meşru bir siteye işaret etmek için, daha sonra yönlendirmeyi kötü amaçlı bir hedefe günceller.
Bu, gerçek, zararlı açılış sayfasını maskeleyen güvenilir bir alan adını gösteren bir önizleme kartı ile sonuçlanır.
T gibi ara bağlantıları içeren yönlendirme zincirinden sonra[.]CO/OSWJDCICFI-Victims, sahte bir kripto para birimi satışını teşvik eden aldatmaca sitelerine iner.
Apple CEO’su Tim Cook’un sahte onayları ile tamamlanan bu siteler, kullanıcıları hesap oluşturmaya ve fon aktarmaya ve 22 sağlanan kripto cüzdanından birine Bitcoin, Ethereum ve Solana dahil olmak üzere çeşitli blockchain ağlarında aktarılmaya devam ediyor.
Silent Push Crypto aldatmaca ağını ortaya çıkarıyor
Silent Push tarafından yapılan daha fazla araştırma, muhtemelen aynı tehdit aktör grubu tarafından işletilen 2024’ten beri aktif olan yaklaşık 90 ilgili alandan oluşan genişleyen bir ağ ortaya çıkardı.
Kampanya, 5 Mayıs 2025’te Chopinkos aracılığıyla yeniden yönlendirerek ikinci bir X/Twitter reklamı ile genişledi[.]Itokensale dijital[.]Canlı, neredeyse aynı aldatmaca içeriği görüntüler.
Silent Push’un Web Kaynağı taraması gibi gelişmiş araçları kullanan analistler, yeniden kullanılan dosyaları, faviconları ve altyapı parmak izlerini belirli IP adresleri olarak tanımladı (örn. 51.15.17[.]214) ve ad sunucuları (ns1.chsw.host) bu alanları daha geniş bir finansal sahtekarlık ekosistemine bağlar.
Birçok site, doğrudan ilişkilendirme belirsiz olmasına rağmen, Apple ticari markalarını da kötüye kullanır veya diğer markaları taklit eder.
Bu sofistike operasyon, sosyal medya platformlarını finansal kazanç için sömürmede siber suçluların gelişen taktiklerini vurgular ve gelişmiş URL doğrulama mekanizmalarına ve kullanıcı farkındalığına olan acil ihtiyacı vurgular.
Aşağıda, tehdit tespiti ve azaltılmasına yardımcı olmak için sessiz bir itme tarafından sağlanan bu kampanyayla ilişkili uzlaşma göstergelerinin (IOC’ler) küratörlü bir listesi bulunmaktadır:
| Tip | Gösterge | Tanım |
|---|---|---|
| IP adresi | 51.15.17[.]214 | Scam Domains tarafından kullanılan özel IP |
| İhtisas | iptal etmek[.]dünya | Birincil aldatmaca açılış sayfası |
| İhtisas | Yapı[.]canlı | İkincil aldatmaca açılış sayfası |
| İhtisas | Şaka[.]dijital | Son kampanyada etki alanını yeniden yönlendir |
| İsim veren kimse | ns1.chsw.host | Birçok aldatmaca sitesi tarafından kullanılan şüpheli isim sunucusu |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir