Kanada finans kurumlarını hedefleyen siber tehditlerin manzarası, hizmet olarak önde gelen kimlik avı (PHAAS) platformu olan Labhost’un kapatıldıktan sonra önemli değişimler gördü.
Kapsamlı interac markalı kimlik avı kitleriyle tanınan Labhost, bu tür kimlik avı girişimlerinin yaklaşık dörtte üçünden sorumluydu.
Ani kapanması, sonraki üç ay içinde Kanada bankalarına yönelik kimlik avı saldırılarının yarıya inmesine yol açtı.
.png
)
Bununla birlikte, kimlik avı faaliyetlerinde beklenen dramatik düşüş tam olarak gerçekleşmedi.
Bu esneklik büyük ölçüde Shebyte sahnesinde ortaya çıkan yeni bir oyuncu oldu.
Resmi olarak Haziran 2024’ün ortalarında başlatılan Shebyte, daha önce Labhost’a güvenen siber suçlular için gitme platformu olarak hızla konumlandırdı.
Hizmet, Mayıs ayında Telegram’daki özelliklerini almaya başladı ve Haziran ayına kadar, sınırlı fırlatma aşamasında etkileşimli markalı kimlik avı saldırılarının% 8’ini oluşturan bir etki yaratmaya başlamıştı.
Shebyte’nin stratejisi, Labhost’un önceki taktiklerine benzeyen pazarlama konusundaki yüzsüz yaklaşımında benzersizdi.
Platform, tek bir geliştirici tarafından işletildiğini iddia ederek, kilit üyelerin tutuklama sonrası diğer hizmetleri rahatsız eden operasyonel güvenlikle ilgili endişeleri ele aldı.
Siber suçlular için daha güvenli bir liman sağlamayı amaçlayan, çalınan bilgilerin veri kaydı ve uçtan uca şifrelemeye sahip olmadılar.
Abonelik ayrıntıları ve etki
Shebyte, daha uzun abonelik dönemleri için indirimlerle, verilen tüm kitleri kullanarak sınırsız kimlik avı saldırılarına izin veren ayda 199 $ karşılığında birinci sınıf bir paket sunuyor.
Mart 2025’e kadar Shebyte, sadece Kanada bankalarını değil, aynı zamanda ABD bankalarını, e -posta sağlayıcılarını, telekom şirketlerini, geçiş yollarını ve kripto hizmetlerini hedefleyen özelleştirilebilir kimlik avı sayfalarını da içerecek şekilde genişletmişti.
Platformun Liverat Yönetici Gösterge Paneli, Labhost’un başarılı Labrat aracını yansıtarak kimlik avı sitesi ziyaretçilerinin gerçek zamanlı izlenmesini ve manipülasyonunu sağlıyor.
Temmuz’dan Ekim 2024’e kadar olan faaliyetlerde bir düşüşe rağmen, muhtemelen Frappo gibi rakiplerin itibar saldırılarından dolayı, Shebyte’nin kimlik avı hacmi Aralık ayında yeni ‘V2’ kimlik avı sayfalarının tanıtımı ile tekrar tırmanmaya başladı.
Fortra’ya göre, 2025 yılının başlarına kadar interac kimlik avını tamamen entegre eden bu yeni özelleştirilebilir kitler, aktivitede derhal bir artış gördü.
Özellikle, Shebyte’nin interac kitlerinin ‘V2’ versiyonları, daha fazla özelleştirme ve potansiyel olarak kimlik avı kampanyalarının etkinliğini artırmaya izin veren daha dinamik unsurlar getirdi.
Teknik Göstergeler
Shebyte platformu, kimlik avı içeriği için çeşitli teknik göstergeler sunar:
- URL yapısı: Yönlendirilmiş eski kitler
start.phpiçinde/go/Dizin, daha yeni V2 kitleri, iniş sayfaları için randomize 8 karakterli alfasayısal bir desen kullanırken, kullanıcılar tarafından manuel değişiklik özelliklerini önerir. - Dosya Adlandırma: Dosya adlandırma kurallarında, aynı 8 karakterlik deseni kullanan dizinler ile benzer rastgelelik gözlenirken, veri ve canlı fare işlemleri almak için dosyalar 7 veya 9 karakter adı kullanır.
Sonuç olarak, Shebyte, Phaas pazarında bir niş yarattı, Labhost’un bıraktığı boşluğu etkili bir şekilde yakaladı ve siber suçluların gelişen taleplerine hızla uyum sağladı.
Büyümesi zorluklarla karşı karşıya olsa da, stratejik hareketleri ve benzersiz teklifleri Kanada siber tehdit manzarasında kalıcı bir varlığı göstermektedir.
Uzlaşma Göstergeleri (IOC)
| Karakter | Tanım |
|---|---|
| start.php in /go / | Şimdi emekli olan V1 kitinde interac açılış sayfası |
| {8 randomize alfasayısal} | V2 açılış sayfaları için URL modeli; Kullanıcı tarafından özelleştirilebilir |
| Randomize desenler | Dizinler, alıcı dosyaları ve Liverat bileşenleri için rastgele dosya adlarının kullanımı |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!