Tehdit aktörleri, son derece aldatıcı bir kimlik avı kampanyasını düzenlemek için önde gelen kısa form video düzenleme uygulaması olan Capcut’un muazzam popülaritesinden yararlandı.
Cofense Kimlik Avı Savunma Merkezi’ne (PDC) göre, saldırganlar, kullanıcıları Apple ID kimlik bilgilerini ve kredi kartı bilgilerini teslim etmeye cezbetmek için Caput’un markasını taklit eden titizlikle hazırlanmış sahte faturalar kullanıyorlar.
Bu çift namlulu saldırı, kullanıcıların tanıdık markalaşmaya verdiği güvenden yararlanmakla kalmaz, aynı zamanda şüpheyi geciktirirken hassas verilerin çıkarılmasını en üst düzeye çıkarmak için sofistike taktikler de kullanır.
.png
)
Gelişmiş kimlik avı kampanyası
Kampanya, sosyal mühendislik tehditlerinin gelişen doğasını ve dijital alanda uyanıklık ihtiyacını açık bir şekilde hatırlatıyor.
Kimlik avı şeması, Capcut’un resmi görüntüleri aracılığıyla aciliyet ve güven aşılamak üzere tasarlanmış bir “Aboneliğinizi İptal Et” düğmesi içeren meşru bir e -posta ile başlar.
Tıklandıktan sonra, kullanıcı şüpheli bir alanda barındırılan sahte bir Apple ID giriş sayfasına yönlendirilir, “Flashersofts[.]Mağaza/Uygulama/Proje/Dizin[.]PHP, ”Apple’ın meşru hizmetleriyle bağlantısı olmayan.
Burada, mağdurlardan kimlik bilgilerini girmeleri istenir, bunlar daha sonra bir HTTP sonrası isteği ile IP adresine 104’e açıklanır.[.]21[.]33[.]45 Düz metinte, verileri müdahaleye maruz bırakan göze çarpan bir güvenlik kusuru.
İki aşamalı saldırı zinciri açıklandı
Bunu takiben, saldırı ikinci aşamasına geçer, burada kullanıcılara geri ödeme yapılması kisvesi altında kredi kartı detayları isteyen bir iletişim kutusu sunulur.
Aynı komut ve kontrol (C2) altyapısını paylaşan bu sayfa, algılanan özgünlük katmanı ekleyerek eksik kart numaralarını reddetmek için giriş doğrulaması bile içerir.
Son adım, asla bir kod vermeyen sahte bir kimlik doğrulama kodu istemi, kurbanların derhal sahtekarlıktan şüphelenmesini ve olayı rapor etmesini önlemek için akıllıca bir ruse sunar.
Bu çok aşamalı tasarım sadece ikili hassas bilgi kümelerini hasat etmekle kalmaz, aynı zamanda saldırganların stratejik derinliğini sergileyerek saldırı penceresini genişletmek için kullanıcı davranışını manipüle eder.
Cofense PDC ekibinin analizi, test sırasında kukla kimlik bilgilerinin ve kart verilerinin kullanımını ortaya çıkardı ve çalınan bilgilerin düz metin iletimini saldırı zincirinde kritik bir güvenlik açığı teyit etti.
Kampanyanın tanıdık marka, aciliyet taktikleri ve ince yanlış yönlendirmeye güvenmesi, kimlik avı planlarında güvenin ne kadar kolay silahlanabileceğini vurgulamaktadır.
Kullanıcılara URL’leri inceleyerek, istenmeyen kişisel bilgiler için istenmeyen talepleri sorgulayarak ve şüpheli iletişimleri derhal bildirerek şüphecilik kullanmaları istenir.
Siber suçlular yöntemlerini geliştirmeye devam ettikçe, bu tür tehditler hakkında bilgi sahibi kalmak çok önemlidir.
Kofense PDC, bu taktikleri izleme ve ortaya çıkarma sözü verir ve sosyal mühendislik saldırılarıyla mücadelede kullanıcı farkındalığının önemini vurgular.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | IP Adresi (ES) |
|---|---|---|
| E -posta enfeksiyonu URL’si | hxxps: // yms1[.]ynotmail[.]IO/istemciler/bağlantı[.]PHP? M = 703770538 & n = 3194361 & l = 453538585 & f = h | 99[.]192[.]255[.]26 |
| Yük URL’si | hxxps: // flashersofts[.]Mağaza/Uygulama/Proje/Dizin[.]PHP | 172[.]67[.]141[.]41, 104[.]21[.]33[.]43 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin