Devam eden toplu kimlik avı kampanyasının ardındaki Rusça konuşan bir tehdit, yılın başından bu yana 4.300’den fazla alan adını kaydettirdi.
Netcraft güvenlik araştırmacısı Andrew Brandt’a göre etkinlik, konaklama endüstrisindeki müşterileri, özellikle de spam e-postalarla seyahat rezervasyonları olabilecek otel misafirlerini hedeflemek için tasarlandı. Kampanyanın ciddi anlamda Şubat 2025 civarında başladığı söyleniyor.
Saldırıya bağlanan 4.344 alan adından 685’i “Booking” adını içeriyor, ardından 18’i “Expedia”, 13’ü “Agoda” ve 12’si “Airbnb” adını içeriyor; bu da tüm popüler rezervasyon ve kiralama platformlarının hedef alındığını gösteriyor.
Brandt, “Devam eden kampanya, hedef web sitesini ilk kez ziyaret ettiğinde URL yolundaki benzersiz bir dizeye bağlı olarak site ziyaretçisine sunulan sayfayı özelleştiren karmaşık bir kimlik avı kiti kullanıyor” dedi. “Özelleştirmelerde Airbnb ve Booking.com dahil olmak üzere büyük çevrimiçi seyahat endüstrisi markalarının logoları kullanılıyor.”
Saldırı, alıcıları kredi kartı kullanarak önümüzdeki 24 saat içinde rezervasyonlarını onaylamak için bir bağlantıya tıklamaya teşvik eden bir kimlik avı e-postasıyla başlıyor. Yemi yutmaları halinde kurbanlar, bir yönlendirme zinciri başlatıldıktan sonra sahte bir siteye yönlendiriliyor. Bu sahte siteler, alan adları için tutarlı adlandırma kalıplarını takip ediyor; onlara meşruluk yanılsaması vermek için onay, rezervasyon, misafir kontrolü, kart doğrulama veya rezervasyon gibi ifadeler içeriyor.
Sayfalar 43 farklı dili destekleyerek tehdit aktörlerinin geniş bir ağ oluşturmasına olanak tanıyor. Sayfa daha sonra mağdura kart bilgilerini girerek otel rezervasyonu için depozito ödemesi talimatını veriyor. Herhangi bir kullanıcının AD_CODE adı verilen benzersiz bir tanımlayıcı olmadan doğrudan sayfaya erişmeye çalışması durumunda boş bir sayfa ile karşılaşılır. Sahte siteler ayrıca hedefi aldatmak için Cloudflare’i taklit eden sahte bir CAPTCHA kontrolüne de sahiptir.
Netcraft, “İlk ziyaretten sonra, AD_CODE değeri bir çereze yazılıyor, bu da sonraki sayfaların, site ziyaretçisine sayfalar arasında gezinirken aynı kimliğe bürünmüş marka görünümünü sunmasını sağlıyor.” dedi. Bu aynı zamanda URL’deki “AD_CODE” değerinin değiştirilmesinin, aynı rezervasyon platformundaki farklı bir oteli hedefleyen bir sayfa oluşturacağı anlamına da gelir.
Son kullanma tarihi verileri ve CVV numarasıyla birlikte kart ayrıntıları girilir girilmez, sayfa arka planda bir işlemi gerçekleştirmeye çalışırken, sahte rezervasyonlara karşı güvenlik sağlamak için sözde “kredi kartınız için 3D Secure doğrulamasını” tamamlama adımlarını içeren bir “destek sohbeti” penceresi ekranda belirir.
Kampanyanın arkasındaki tehdit grubunun kimliği hâlâ bilinmiyor, ancak kaynak kodu yorumları ve hata ayıklayıcı çıktısı için Rusçanın kullanılması ya bunların menşeini ima ediyor ya da kimlik avı kitinin onu kendi ihtiyaçlarına uyacak şekilde özelleştirmek isteyen potansiyel müşterilerine hitap etme girişimidir.
Açıklama, Sekoia’nın otel yöneticilerini ClickFix tarzı sayfalara yönlendiren, PureRAT gibi kötü amaçlı yazılımlar dağıtarak kimlik bilgilerini toplayan ve ardından WhatsApp veya e-posta yoluyla otel müşterilerine rezervasyon ayrıntılarını ileten ve bir bağlantıya tıklayarak rezervasyonlarını onaylayan otelcilik sektörünü hedef alan büyük ölçekli bir kimlik avı kampanyası konusunda uyarmasından birkaç gün sonra geldi.
İlginçtir ki, Fransız siber güvenlik şirketi tarafından paylaşılan göstergelerden biri – Guestverify5313-booking[.]com/67122859 – tehdit aktörü tarafından kaydedilen alan adı modeliyle eşleşir (örneğin, validguets71561-booking[.]com), bu iki faaliyet kümesinin birbiriyle ilişkili olabileceği olasılığını artırıyor. Hacker News, yorum yapmak için Netcraft’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Son haftalarda büyük ölçekli kimlik avı kampanyaları, HTML eklerini e-posta yoluyla dağıtarak kimlik bilgilerini çalmak için Microsoft, Adobe, WeTransfer, FedEx ve DHL gibi birden fazla markanın kimliğine büründü. Cyble, gömülü HTML dosyalarının başlatıldığında sahte bir giriş sayfası görüntülediğini, JavaScript kodunun ise kurban tarafından girilen kimlik bilgilerini yakalayıp bunları doğrudan saldırganın kontrolündeki Telegram botlarına gönderdiğini söyledi.
Kampanya esas olarak Orta ve Doğu Avrupa’da, özellikle Çek Cumhuriyeti, Slovakya, Macaristan ve Almanya’da çok çeşitli kuruluşları hedef aldı.
Şirket, “Saldırganlar, meşru müşteriler veya iş ortakları gibi davranarak fiyat teklifi veya fatura onayı talep eden kimlik avı e-postaları dağıtıyor” dedi. “Bu bölgesel odaklanma, RFQ’ları ve tedarikçi iletişimlerini rutin olarak işleyen yerel işletmelere, distribütörlere, hükümetle bağlantılı kuruluşlara ve konaklama firmalarına ait hedeflenen alıcı alanları aracılığıyla açıkça görülmektedir.”
Ayrıca, İtalya’nın en büyük web barındırma ve BT hizmet sağlayıcılarından biri olan Aruba SpA’nın müşterilerini hedef alan büyük ölçekli bir kampanyada, hassas verileri ve ödeme bilgilerini çalmak amacıyla benzer bir girişimde kimlik avı kitleri kullanıldı.
Group-IB araştırmacıları Ivan Salipur ve Federico Marazzi, kimlik avı kitinin “verimlilik ve gizlilik için tasarlanmış tam otomatik, çok aşamalı bir platform” olduğunu söyledi. “Güvenlik taramalarından kaçınmak için CAPTCHA filtrelemesi kullanıyor, güvenilirliği artırmak için kurban verilerini önceden dolduruyor ve çalınan kimlik bilgilerini ve ödeme bilgilerini sızdırmak için Telegram botlarını kullanıyor. Her işlev tek bir hedefe hizmet ediyor: endüstriyel ölçekte kimlik bilgisi hırsızlığı.”
Bu bulgular, yeraltı ekonomisinde hizmet olarak kimlik avı (PhaaS) tekliflerine yönelik artan talebin bir örneğini oluşturuyor ve teknik uzmanlığı çok az olan veya hiç olmayan tehdit aktörlerinin geniş ölçekte saldırılar gerçekleştirmesine olanak tanıyor.
Singapurlu şirket, “Bu özel kitte gözlemlenen otomasyon, kimlik avının nasıl sistematik hale geldiğini gösteriyor; dağıtımı daha hızlı, tespit edilmesi daha zor ve kopyalanması daha kolay.” diye ekledi. “Bir zamanlar teknik uzmanlık gerektiren şeyler artık önceden oluşturulmuş, otomatikleştirilmiş çerçeveler aracılığıyla geniş ölçekte yürütülebiliyor.”