Son aylarda, hem bireysel kullanıcıları hem de işletme kuruluşlarını eşi görülmemiş bir sofistike ile hedefleyen poisonseed olarak bilinen yeni bir kimlik avı araç seti ortaya çıktı.
Yalnızca kullanıcı adlarını ve şifreleri toplayan geleneksel kimlik avı kitlerinden farklı olarak, Poisonse tohumu, çok faktörlü kimlik doğrulama (MFA) tokenlerini ve oturum çerezlerini kesmek için ortada bir düşman (AITM) yaklaşımı kullanır.
Mağdurlar, meşru toplu e-postadan veya Sendgrid ve MailChimp gibi CRM sağlayıcılarından bildirim olarak maskelenen mızrak akhis e-postaları alırlar.
Gömülü bağlantılar, hedefin şifrelenmiş e-posta adresini doğrudan URL’ye ekleyerek hileli giriş istemlerini sunmadan önce özgünlüğü doğrulayan hassas validasyonlu kimlik avı sağlar.
Araç setinin altyapısı, sahte bir Cloudflare Turnike Mücadelesi sayfası, özelleştirilmiş giriş formları ve birden fazla 2FA kanalı (SMS, e -posta kodları, kimlik doğrulayıcı uygulamaları ve API anahtarları) içeren modüler bir tasarımla React üzerine inşa edilmiştir.
İlk teslimat genellikle spam filtrelerinden kaçmak için tehlikeye atılan pazarlamadan veya CRM alanlarından yararlanır. Alıcılar bağlantıyı tıkladıklarında, bir Captcha zorluğunu taklit eden aşamalı bir doğrulama sayfasına inerler.
.webp)
Perde arkasında bir API çağrısı /api/check-email Şifreli e-posta parametresinin yasaklanmamış bir hesaba karşılık geldiğini doğrular. Sadece başarılı bir doğrulama üzerine kit, kimlik bilgilerini yakalamaya devam eder.
Nviso Labs analistleri, zehirli kanalları, etki alanı kayıt kalıplarını izleyerek ve barındırma seçeneklerini izleyerek toplu olarak “COM” olarak bilinen dağınık örümcek ve kriptocameleon gruplarıyla uyumlu bir varyant olarak tanımladı.
Bilinen tüm alanlar Nicenic aracılığıyla kaydedildi ve Cloudflare veya benzeri CDN’lerde barındırıldı ve yayından kaldırma çabalarını engellemek için isim sunucusu gizlemesinden yararlandı. Alan oluşturma ve dönen altyapıyı otomatikleştirerek, düşman kalıcı bir tabanı korur.
Kimlik bilgileri toplandıktan sonra, saldırganlar giriş isteklerini meşru hizmetin API’sına karşı tekrarlar, MFA kodlarını aktarır ve sonuçta tam hesap kontrolü sağlayan geçerli oturum çerezlerini sabitler.
Kimlik bilgisi edinimini takiben, Poisonseed, kripto para birimi ile ilgili spam kampanyalarını dağıtmak için iletişim listelerinin toplu dışa aktarılmasını otomatikleştirir ve e-posta altyapısını kaçırır.
SPAM’ın ötesinde, araç seti, bir güvenlik araştırmacının MailChimp posta listesinin yakın zamanda uzlaşması ve büyük bir kripto para platformunda hileli bir cüzdan göçü kimlik avı kurulumu da dahil olmak üzere, yüksek profilli bireylere yönelik hedefli saldırılarda gözlenmiştir.
Enfeksiyon Mekanizması: Hassas Valiye Yeşleme ve AITM Sömürü
Poisonseed’in enfeksiyon mekanizmasının kalbinde, sadece amaçlanan hedeflerin kimlik bilgisi yakalama sürecini tamamlamasını sağlayan hassas doğrulanmış kimlik avı tekniği yatmaktadır.
Bir kurban ilk URL’ye geldiğinde, React bileşeni TurnstileChallenge.jsx Şifreli e-posta sorgusu parametresini çıkarır ve bir arka plan yayınlama isteği verir:-
useEffect(() => {
const encryptedEmail = new URLSearchParams(location.search).get('email');
if (!encryptedEmail) {
window.location.href="https://www.google.com";
return;
}
axios.post(`${API_URL}/check-email`, { email: encryptedEmail })
.then(response => {
if (response.data.valid && !response.data.banned) {
setIsChecked(true);
} else {
clearSession();
navigate('/verify', { replace: true });
}
})
.catch(() => {
clearSession();
navigate('/verify', { replace: true });
});
}, [location, navigate]);Doğrulama geçtikten sonra bir oturum bayrağı (fakeTurnstileVerified) oturum depolamasında ayarlanır ve kurbanın giriş formuna geçmesine izin verir.
Bu aşamada, ProtectedRoute sarıcı App.jsx Giriş bileşenini oluşturmadan önce doğrulamayı zorlar ve doğrulanmamış istekleri geri yönlendirir /verify.
Oturum açma formu daha sonra kullanıcı adını ve şifreyi yakalar, onları meşru arka uçla aktarır ve bir MFA mücadelesini bekler.
Hesabın yapılandırılmış ikinci faktörüne bağlı olarak, kit birkaç reaksiyon bileşeninden birini sunar –TwoFactorSMS.jsx– TwoFactorEmail.jsx– TwoFactorGA.jsxveya ApiKeyVerification.jsx– Kodları gerçek sağlayıcıya iletirken gerçek hizmetin kullanıcı arayüzünü taklit etmek için tasarlanmıştır.
Bir AITM rölesi olarak hareket ederek, zehirli tohum şeffaf bir şekilde tüm kimlik doğrulama trafiğini vekalet eder. Mağdur bir kerelik bir kod veya API tuşu gönderir göndermez kit, meşru hizmet tarafından verilen oturum çerezlerini yakalar ve bunları saldırganın arka ucunda saklar.
Bu çerezler, düşmanın MFA’yı tamamen sonraki oturumlarda atlamasına izin vererek kurbanın hesabına sınırsız erişim sağlıyor.
.webp)
Kimlik avı kiti, kimlik doğrulama jetonlarının sorunsuz müdahalesini vurgulayarak bu saldırı akışını göstermektedir.
Bu karmaşık ön uç aldatma ve arka uç röle karışımı sayesinde, poisonse tohumu modern kimlik avı kitlerinin güçlü MFA savunmalarını nasıl atlatabileceğini ve kimlik avına dirençli kimlik doğrulama yöntemlerine acil ihtiyacın altını çizebileceğini örnekliyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.