Şüphelenmeyen kullanıcıları karmaşık bir teknik destek dolandırıcılığına çekmek için Microsoft’un tanıdık markasını silah haline getiren yeni bir kampanya ortaya çıktı.
Mağdurlar, üzerinde Microsoft’un resmi logosunun yer aldığı ve acil müdahale gerektiren önemli bir finansal işlem veya güvenlik uyarısı olduğunu iddia eden meşru görünen bir e-posta alıyor.
Mesaj, alıcılardan kimliği doğrulama veya acil bir sorunu çözme kisvesi altında bir bağlantıya tıklamalarını ister.
Cofense analistleri, tehdit aktörlerinin etkiyi en üst düzeye çıkarmak için ödeme tuzaklarını yanıltıcı kullanıcı arayüzü katmanlarıyla birleştirerek sosyal mühendislik taktiklerini geliştirdiklerini belirtti.
Bağlantıya tıklandığında kullanıcılar, güvenilir bir doğrulama sürecini taklit etmek üzere tasarlanmış sahte bir CAPTCHA sorgulamasıyla yönlendirilir.
.webp)
Kurban doğrulamayı tamamladığında, tarayıcının orijinal Microsoft güvenlik uyarılarına göre tasarlanmış birden fazla açılır pencere tarafından kilitlenmiş göründüğü bir açılış sayfasına yönlendiriliyor.
.webp)
Saldırganın amacı panik duygusu yaratarak kullanıcıyı, sisteminin normal işlevselliğin ötesinde tehlikeye girdiğine inandırmaktır.
Çoğu durumda dolandırıcılık, Microsoft’un yardım hattı olduğunu iddia eden bir destek telefon numarasının görüntülenmesiyle sonuçlanır.
Kurban aradığında, destek teknisyeni kılığına giren kötü niyetli bir aktörle bağlantı kuruyor.
Dolandırıcı, bulaşmayı çözme bahanesiyle hedefi Microsoft hesabı kimlik bilgilerini açıklamaya veya sistemi “onarmak” için bir uzak masaüstü aracı yüklemeye ikna ederek saldırganın altyapısına tam erişim sağlar.
Enfeksiyon Mekanizması
Bulaşma, yeniden yönlendiriciler ve yük ana bilgisayarları olarak hizmet veren, gözlemlenen URL’lerin bir listesiyle başlar. İlk yeniden yönlendirici alanları şunları içerir:
hxxps://alphadogprinting.com/index.php?8jl9lz
hxxps://amormc.com/index.php?ndv5f1Bu URL’ler, kurbanları kötü amaçlı yer paylaşımlı sunucuya ulaşmadan önce bir CAPTCHA sayfası üzerinden yönlendirir. Yük alanları, örneğin:
hxxps://my.toruftuiov.com/9397b37a-50c4-48c0-899d-f5e87a24088d
hxxps://deprivy.stified.sbs/proc.phpFare kontrolünü devre dışı bırakmak ve sahte uyarıları görüntülemek için DOM’u değiştiren komut dosyası içeren katmanları barındırın.
Tarayıcı kilidi tamamen yanıltıcıdır ve ESC tuşuna basılarak kapatılabilir, ancak çok az kurban bunu saldırganla iletişime geçmeden önce keşfeder.
Güvenilir logoları birden fazla yönlendirme aşaması ve kullanıcı arayüzü aldatmacasıyla harmanlayan bu kampanya, kimlik bilgisi hırsızlığını kolaylaştırmak için marka bilinirliğinden yararlanan gelişen bir tehdide örnek teşkil ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
