Kimlik avı kampanyaları uzun zamandır dupe şüpheli kullanıcılara sosyal mühendisliğe güveniyor, ancak son gelişmeler bu saldırıları yeni bir sofistike seviyeye yükseltti.
Saldırganlar artık son derece kişiselleştirilmiş e-postalar ve web sayfaları oluşturmak için gelişmiş içerik üretim platformlarını kullanıyor ve gerçek kurumsal markayı bağlamsal olarak ilgili mesajlarla harmanlıyor.
Bu platformlar, bir kurbanın iletişim tarzını yansıtan metin oluşturmak için kamusal sosyal medya profillerini, kurumsal basın bültenlerini ve kullanıcı etkinliğini analiz ederek katılım olasılığını büyük ölçüde artırır.
Ortaya çıkan e -postalar, bilinen kötü amaçlı anahtar kelimelerden kaçınarak ve her teslimatta değişen dinamik içerik kullanarak temel filtreleri sık sık atlar.
Aynı zamanda, bu platformlar, kimlik avı şablonlarını anında rafine etmek için gerçek zamanlı dil modellerini entegre ederek, gelişen e-posta savunmalarına ve kullanıcı yanıtlarına uyum sağlar.
Bu sürekli öğrenme döngüsü, kampanyaların mesaj şablonlarını dakikalar içinde değiştirmesine izin vererek statik blok listelerini etkili bir şekilde eski haline getirir.
Trend mikro araştırmacıları, Ağustos 2025’te bu Ai-güçlendirilmiş kimlik avı dalgalarının birkaç kümesini belirledi, her biri finansal hizmetlerden sağlık hizmetlerine kadar farklı endüstri sektörlerini hedeflediler.
.webp)
Kuruluşlar sezgisel ve davranış tabanlı filtreleri dağıtmak için mücadele ederken, saldırganlar hem metni hem de gömülü URL’leri gerçek zamanlı olarak değiştiren polimorfik yüklerle karşılaşırlar.
E-postanın ötesinde, saldırganlar, geçerli SSL sertifikaları ve bölgeye özgü IP adresleri ile birlikte bulut altyapısında barındırılan ikna edici yinelenen oturum açma portalları oluşturmak için bu platformlardan yararlanır.
.webp)
Orijinal görünümlü alanlar, geçerli sertifikalar ve kişiselleştirilmiş mesajlaşma kombinasyonu, birçok kullanıcının ince uyarı işaretlerini göz ardı etmesine yol açar.
Trend mikro analistleri, bu tür kampanyaların genellikle çok faktörlü istemleri taklit eden kısa bir kimlik doğrulama adımı içerdiğini ve standart kurumsal giriş akışlarıyla hizalanarak şüpheyi daha da azalttığını belirtti.
.webp)
Kimlik bilgileri toplandıktan sonra, takip eden kötü amaçlı yazılım, bir komut ve kontrol sunucusuna HTTPS üzerinden normal web trafiğiyle harmanlayan hafif bir yükleyici sunar.
Kimlik doğrulama hırsızlığına paralel olarak, bu kampanyalar kodları içinde çeşitli kaçırma tekniklerini dağıtmaktadır. Gömülü komut dosyaları, gerçek amaçlarını gizlemek için şifreleme ve gizleme rutinleri kullanır, sadece çalışma zamanında şifreleme.
PowerShell’de yazılmış yükleyici, son yükü dağıtmadan önce izleme hizmetlerini devre dışı bırakma çağrılarından yararlanır.
Temsilci bir snippet, komut dosyasının API işlevini dinamik olarak nasıl çözdüğünü gösterir:-
$kernel = Add-Type –MemberDefinition @"
[DllImport("kernel32.dll")]
public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);
"@ –Name "Kernel" –Namespace "Win32"
$hMod = [Kernel]::GetModuleHandle("ntdll.dll")
$addr = [Kernel]::GetProcAddress($hMod, "NtOpenProcess")Kaçınma teknikleri ve tespit zorlukları
Bu AI odaklı kampanyaların kritik bir yönü, imza tabanlı ve davranışsal algılama sistemlerinden kaçınma yeteneklerinde yatmaktadır.
Dinamik olarak oluşturulan HTML yükleri, her bir etkileşimde değişen randomize eleman kimliklerini ve satır içi stil tanımlarını içerir ve imza eşleşmesini etkisiz hale getirir.
Ağ tarafında, saldırgan kontrollü alanlar, yetkili ad sunucularını döndürmek için hızlı akı DN’leri kullanırken, kötü amaçlı yükleyici standart bağlantı noktaları üzerinde şifreli tüneller oluşturur ve meşru SSL bağlantıları arasında trafiği kamufle eder.
Statik buluşsal yöntemlere dayanan uç nokta sensörleri, yükleyici PowerShell yürütme için Windows olay günlüğünü devre dışı bıraktıkça, ardından ikincil yük etkinleştikten sonra günlüğe kaydetme ayarlarını eski haline getirirken sıklıkla atılır.
Bu vur-koşu stratejisi, minimum adli artefaktlar bırakarak, olay sonrası analizi karmaşıklaştırıyor ve tehdit aktörleri için bekleme süresini uzatıyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.