Siber güvenlik araştırmacıları, kullanıcıların kimlik bilgilerini toplamak için tasarlanmış sahte e-posta oturum açma sayfaları sunmak amacıyla HTTP başlıklarındaki yenileme girişlerini kötüye kullanan devam eden kimlik avı kampanyaları konusunda uyardı.
Palo Alto Networks Unit 42 araştırmacıları Yu Zhang, Zeyu You ve Wei Wang, “HTML içeriği üzerinden gerçekleştirilen diğer kimlik avı web sayfası dağıtım davranışlarından farklı olarak, bu saldırılar HTML içeriğinin işlenmesinden önce sunucu tarafından gönderilen yanıt başlığını kullanıyor” dedi.
“Kötü amaçlı bağlantılar, kullanıcı etkileşimi gerektirmeden tarayıcının bir web sayfasını otomatik olarak yenilemesini veya yeniden yüklemesini sağlar.”
Mayıs-Temmuz 2024 arasında gözlemlenen geniş çaplı faaliyetin hedefleri arasında Güney Kore’deki büyük şirketlerin yanı sıra ABD’deki devlet kurumları ve okullar da yer alıyor. Kampanyalarla 2.000’e kadar kötü amaçlı URL ilişkilendirildi.
Saldırıların yüzde 36’sından fazlası iş ve ekonomi sektörüne yönelik olurken, bunu finansal hizmetler (%12,9), hükümet (%6,9), sağlık ve tıp (%5,7) ve bilgisayar ve internet (%5,4) takip etti.
Saldırılar, tehdit aktörlerinin niyetlerini gizlemek ve e-posta alıcılarını hassas bilgilerini paylaşmaya kandırmak için kullandıkları uzun taktikler listesinin en sonuncusu. Bunlar arasında, kimlik avı ve yönlendirme saldırılarını yaymak için trend olan üst düzey alan adlarını (TLD’ler) ve alan adlarını kullanmak da yer alıyor.
Enfeksiyon zincirleri, hedeflenen alıcıların e-posta adreslerini içeren başlık yenileme URL’leri aracılığıyla kötü amaçlı bağlantıların iletilmesiyle karakterize edilir. Yönlendirilecek bağlantı, Refresh yanıt başlığına gömülüdür.
Enfeksiyon zincirinin başlangıç noktası, tıklandığında aktör tarafından kontrol edilen kimlik bilgisi toplama sayfasına yönlendirmeyi tetikleyen, meşru veya tehlikeye atılmış bir etki alanını taklit eden bir bağlantı içeren bir e-posta mesajıdır.
Kimlik avı girişimine meşruiyet kazandırmak için kötü amaçlı webmail oturum açma sayfaları alıcıların e-posta adreslerini önceden doldurmuştur. Saldırganların ayrıca URL kısaltma, izleme ve kampanya pazarlama hizmetleri sunan meşru alan adlarını kullandıkları da gözlemlenmiştir.
Araştırmacılar, “Saldırganlar, meşru alan adlarını dikkatlice taklit ederek ve kurbanları resmi sitelere yönlendirerek gerçek amaçlarını etkili bir şekilde gizleyebilir ve kimlik bilgilerinin başarılı bir şekilde çalınma olasılığını artırabilir” dedi.
“Bu taktikler, saldırganların tespit edilmekten kaçınmak ve şüphesiz hedefleri istismar etmek için kullandıkları karmaşık stratejileri ortaya koyuyor.”
Kimlik avı ve ticari e-posta ihlali (BEC), bilgi çalmak ve finansal amaçlı saldırılar gerçekleştirmek isteyen saldırganlar için önemli bir yol olmaya devam ediyor.
ABD Federal Soruşturma Bürosu’na (FBI) göre, BEC saldırıları Ekim 2013 ile Aralık 2023 arasında ABD’li ve uluslararası kuruluşlara yaklaşık 55,49 milyar dolara mal oldu ve aynı zaman diliminde 305.000’den fazla dolandırıcılık olayı bildirildi.
Gelişme, en azından Temmuz 2023’ten bu yana kamu figürleri, CEO’lar, haber sunucuları ve üst düzey hükümet yetkililerini içeren deepfake videolarını kullanarak Quantum AI gibi sahte yatırım planlarını tanıtan “düzinelerce dolandırıcılık kampanyasının” ortasında geliyor.
Bu kampanyalar, çeşitli sosyal medya platformlarındaki gönderiler ve reklamlar aracılığıyla yayılıyor ve kullanıcıları kaydolmak için bir form doldurmaları istenen sahte web sayfalarına yönlendiriyor, ardından bir dolandırıcı telefonla kullanıcıları arayarak hizmete erişmek için 250 dolarlık bir başlangıç ücreti ödemelerini istiyor.
“Dolandırıcı, kurbana fonlarının daha fazlasını ‘yatırım’ yapabilmesi için özel bir uygulama indirmesini söyler,” dedi Unit 42 araştırmacıları. “Uygulama içinde, bir gösterge paneli küçük karlar gösteriyor gibi görünüyor.”
“Son olarak, mağdur parasını çekmeye çalıştığında, dolandırıcılar paralarını geri alamamalarının sebebi olarak ya çekim ücreti talep ediyor ya da başka bir sebep (örneğin vergi sorunları) gösteriyor.
“Dolandırıcılar daha sonra kurbanın hesabını kilitleyip kalan parayı cebine atabilir ve kurbanın ‘platforma’ yatırdığı paranın çoğunu kaybetmesine neden olabilir.”
Ayrıca, kendisini meşru bir kuruluş olarak tanıtan ve diğer siber suçlulara otomatik CAPTCHA çözme hizmetlerini büyük ölçekte reklam eden ve onların BT ağlarına sızmalarına yardımcı olan gizli bir tehdit aktörünün keşfedilmesinin ardından geldi.
Arkose Labs tarafından Greasy Opal olarak adlandırılan, Çek Cumhuriyeti merkezli “siber saldırı etkinleştirme işletmesi”nin 2009’dan beri faaliyette olduğu ve müşterilerine kimlik bilgisi doldurma, toplu sahte hesap oluşturma, tarayıcı otomasyonu ve sosyal medya spam’i için 190 dolarlık bir fiyat ve aylık abonelik için ek 10 dolarlık bir ücret karşılığında bir araç seti sunduğu düşünülüyor.
Ürün portföyü siber suç yelpazesini çalıştırıyor ve birkaç hizmeti bir araya getirerek karmaşık bir iş modeli geliştirmelerine olanak tanıyor. Kuruluşun sadece 2023 yılı gelirlerinin 1,7 milyon dolardan az olmadığı söyleniyor.
Sahtekarlık önleme şirketi yakın zamanda yaptığı bir analizde, “Greasy Opal, gürültü, döndürme veya tıkanıklık nedeniyle bozulmuş veya gizlenmiş olanlar da dahil olmak üzere metin tabanlı CAPTCHA’ları etkili bir şekilde analiz etmek ve yorumlamak için son teknoloji OCR teknolojisini kullanıyor,” diye belirtti. “Hizmet, kapsamlı görüntü veri kümeleri üzerinde eğitilmiş makine öğrenimi algoritmaları geliştiriyor.”
Kullanıcılarından biri de Microsoft tarafından daha önce sahte web siteleri ve sosyal medya sayfaları aracılığıyla diğer suç aktörlerine 750 milyon sahte Microsoft hesabı ve aracı satan Vietnamlı siber suç grubu Storm-1152’dir.
Arkose Labs, “Greasy Opal, yalnızca CAPTCHA çözme hizmetleri değil, aynı zamanda SEO’yu artıran yazılımlar ve genellikle kötü amaçlı yazılım dağıtımının habercisi olabilecek spam için kullanılan sosyal medya otomasyon hizmetleri de sunan çok yönlü işletmelerden oluşan gelişen bir şirket topluluğu oluşturdu” dedi.
“Bu tehdit aktörü grubu, işletmelerin gri bölgede faaliyet gösterdiği ve ürün ve hizmetlerinin aşağı akışta yasadışı faaliyetler için kullanıldığı artan bir eğilimi yansıtıyor.”