Labhost’un Nisan 2024’teki kapanmasının ardından, hizmet olarak kimlik avı (PHAAS) manzarasında yeni bir oyuncu ortaya çıktı ve kendisini bir zamanlar baskın platformun varisi olarak konumlandırdı.
Haziran ayı ortasında tamamen piyasaya sürülmeden önce Mayıs 2024’te hizmetlerini Telegram’da resmi olarak markalayan Shebyte, finansal kurumları hedefleyen sofistike kimlik avı altyapısı sunarak Kanada kimlik avı tehdidi manzarasının önemli bir bölümünü hızla ortaya koydu.
Shebyte’nin iş modeli, daha uzun taahhütler için indirimlerle birlikte, 199 $ ‘lık premium aylık bir abonelik paketi civarında dönüyor.
.png
)
.webp)
Bu abonelik, kullanıcılara 17 Kanada bankasını, ABD merkezli 4 bankayı, e-posta sağlayıcılarını, telekom şirketlerini ve kripto para birimi hizmetlerini hedefleyen statik ve özelleştirilebilir kimlik avı kitlerine sınırsız erişim sağlar.
Hizmet, tek bir geliştirici tarafından işletildiği gibi kasıtlı olarak pazarlamaktadır – bireysel labhost geliştiriciler kolluk kuvvetleri tarafından tehlikeye atıldıktan sonra ortaya çıkan endişelere doğrudan yanıt.
Labhost yayından kaldırma başlangıçta Kanada bankalarını hedefleyen interac markalı kimlik avı saldırılarını yarı yarıya düşürürken, Shebyte hızla boşluğu doldurdu.
Fortra araştırmacıları, Shebyte’nin Mayıs 2024’te interac markalı kimlik avı saldırılarının% 8’ini oluşturduğunu ve Haziran ayında tam platform piyasaya sürülmesinde% 10’a yükseldiğini ve cezai ekosistemdeki artan etkisini gösterdiğini belirtti.
Fortra analistleri, Şubat 2025’te Shebyte’nin sayfa oluşturucu aracı için “V2” özelleştirilebilir etkileşim kitini yayınladığı ve Kanada banka kimlik avı faaliyetinde ölçülebilir bir artışı tetiklediği önemli bir yenilik belirledi.
Platform, tehdit aktörlerinin kimlik avı ziyaretlerini gerçek zamanlı olarak izlemelerini, çok faktörlü kimlik doğrulama kodlarını kesmesini ve kurbanlardan ek bilgi istemelerini sağlayan Liverat Gösterge Tablosunu gururla tanıtıyor.
Platformun belirleme karşıtı yetenekleri güvenlik profesyonelleri için sofistike bir zorluk sunuyor. Shebyte’nin kaçırma ayarları, müşterilerin şüpheli sanal makinelerden gelen belirli coğrafi bölgeleri, bilinen VPN’leri, vekilleri ve trafiği engellemelerine olanak tanır.
Ek koruma için hizmet, güvenlik araştırmacılarını ve otomatik tarama araçlarını filtrelemek için birden fazla CAPTCHA uygulama seçeneği sunar.
Teknik Göstergeler ve Kırılma Taktikleri
SHEBYTE PHISHING kitleri belirli teknik belirteçlerle tanımlanabilir. Şimdi emekli olan V1 interac kiti, açılış sayfası olarak “/go/” dizininde bir “start.php” dosyası kullandı.
Daha yeni V2 kitleri, PHP dosyaları için sekiz randomize alfasayısal karakterden oluşan bir adlandırma kuralını kullanır, ancak bu model kimlik avı örneği başına benzersiz isimler oluşturmak yerine kampanyalar arasında tutarlı kalır.
Dosya ve dizin adlandırma benzer desenleri izler, sekiz karakter dizileri kullanan dizinler, form alıcısı ve Liverat bileşenleri yedi veya dokuz karakterli ad kullanır.
Bu teknik parmak izleri, güvenlik ekiplerinin Shebyte kampanyalarını tespit etmesine izin veriyor, ancak hizmet sürekli olarak taktiklerini geliştiriyor.
Liverat yetenekleri, özellikle mağdur deneyiminin gerçek zamanlı manipülasyonunu sağladıkları için, saldırganların mağdur davranışlarına ve potansiyel olarak standart güvenlik önlemlerine dayanarak yaklaşımlarını uyarlamalarına izin verdikleri için ilgilidir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy