Siber güvenlik araştırmacıları, tehdit aktörlerinin Cloudflare ve Microsoft Sway gibi meşru hizmetleri kendi çıkarları doğrultusunda kötüye kullanmaya devam etmesi nedeniyle, Webflow adlı bir web sitesi oluşturma aracı kullanılarak oluşturulan kimlik avı sayfalarında ani bir artış olduğu konusunda uyardı.
Netskope Threat Labs araştırmacısı Jan Michael Alcantara, “Kampanyalar, Coinbase, MetaMask, Phantom, Trezor ve Bitbuy dahil olmak üzere farklı kripto cüzdanlarındaki hassas bilgilerin yanı sıra birden fazla şirketin web posta platformuna yönelik oturum açma kimlik bilgilerini ve Microsoft 365 oturum açma kimlik bilgilerini hedef alıyor” dedi. bir analizde söyledi.
Siber güvenlik şirketi, Nisan ve Eylül 2024 arasında Webflow kullanılarak oluşturulan kimlik avı sayfalarına yönelik trafikte 10 kat artış gözlemlediğini ve saldırıların dünya çapında 120’den fazla kuruluşu hedef aldığını söyledi. Hedeflenenlerin çoğunluğu Kuzey Amerika ve Asya’da bulunuyor ve finansal hizmetler, bankacılık ve teknoloji sektörlerini kapsıyor.
Saldırganların, bağımsız kimlik avı sayfaları oluşturmak ve şüphelenmeyen kullanıcıları kendi kontrolleri altındaki diğer kimlik avı sayfalarına yönlendirmek için Webflow’u kullandıkları gözlemlendi.
Michael Alcantara, “İlki saldırganlara gizlilik ve kolaylık sağlıyor çünkü yazılacak ve tespit edilecek kimlik avı kodu satırları yok, ikincisi ise saldırgana gerektiğinde daha karmaşık eylemler gerçekleştirme esnekliği veriyor.” dedi.
Webflow’u Cloudflare R2 veya Microsoft Sway’den çok daha çekici kılan şey, şüphe uyandırmaya eğilimli, otomatik olarak oluşturulan rastgele alfasayısal alt alanların aksine, kullanıcıların hiçbir ek ücret ödemeden özel alt alanlar oluşturmasına olanak sağlamasıdır.
- Cloudflare R2 – https://pub-<32_alphanumeric_string>.r2.dev/webpage.htm
- Microsoft Sway – https://sway.cloud.microsoft/{16_alphanumeric_string}?ref={sharing_option}
Saldırının başarılı olma olasılığını artırmak amacıyla, kimlik avı sayfaları, kullanıcıları kimlik bilgilerini verme konusunda yanıltmak amacıyla yasal benzerlerinin oturum açma sayfalarını taklit edecek şekilde tasarlanmıştır ve bu bilgiler daha sonra bazı durumlarda farklı bir sunucuya sızdırılır.
Netskope ayrıca meşru bir cüzdan ana sayfasının ekran görüntüsünü kendi açılış sayfaları olarak kullanan ve sahte sitede herhangi bir yere tıklandığında ziyaretçiyi gerçek dolandırıcılık sitesine yönlendiren Webflow kripto dolandırıcılığı web sitelerini de tanımladığını söyledi.
Kripto kimlik avı kampanyasının nihai hedefi, kurbanın temel ifadelerini çalarak saldırganların kripto para birimi cüzdanlarının kontrolünü ele geçirmesine ve fonları boşaltmasına olanak sağlamaktır.
Siber güvenlik firmasının tespit ettiği saldırılarda, kurtarma ifadesini sağlayan kullanıcılara, “yetkisiz etkinlik ve kimlik tespiti hatası” nedeniyle hesaplarının askıya alındığını belirten bir hata mesajı gösteriliyor. Mesaj ayrıca kullanıcıdan tawk.to’da çevrimiçi bir sohbet başlatarak destek ekibiyle iletişime geçmesini ister.
LiveChat, Tawk.to ve Smartsupp gibi sohbet hizmetlerinin, Avast tarafından CryptoCore olarak adlandırılan bir kripto para dolandırıcılığı kampanyasının parçası olarak kötüye kullanıldığını belirtmekte fayda var.
Michael Alcantara, “Kullanıcılar, bankacılık portalları veya web postaları gibi önemli sayfalara, arama motorlarını kullanmak veya başka herhangi bir bağlantıya tıklamak yerine her zaman URL’yi doğrudan web tarayıcısına yazarak erişmelidir.” dedi.
Bu gelişme, siber suçluların karanlık ağda Google’ın Chrome web tarayıcısındaki Güvenli Tarama uyarılarını atladığını iddia eden yeni anti-bot hizmetlerinin reklamını yapmasıyla ortaya çıktı.
SlashNext yakın tarihli bir raporunda “Otus Anti-Bot, Remove Red ve Limitless Anti-Bot gibi anti-bot hizmetleri karmaşık kimlik avı operasyonlarının temel taşı haline geldi” dedi. “Bu hizmetler, güvenlik tarayıcılarının kimlik avı sayfalarını tespit etmesini ve bunları engellenenler listesine eklemesini engellemeyi amaçlıyor.”
“Bu araçlar, siber güvenlik botlarını filtreleyerek ve kimlik avı sayfalarını tarayıcılardan gizleyerek, kötü amaçlı sitelerin ömrünü uzatarak suçluların tespit edilmekten daha uzun süre kaçmasına yardımcı oluyor.”
Devam eden kötü amaçlı spam ve kötü amaçlı reklam kampanyalarının, daha sonra CSharp-Streamer-RAT ve Cobalt Strike gibi kötü amaçlı yazılımlar için bir kanal görevi gören WARMCOOKIE (aka BadSpace) adı verilen, aktif olarak gelişen bir kötü amaçlı yazılımı yaydığı da keşfedildi.
“WarmCookie, düşmanlar için yük dağıtımı, dosya manipülasyonu, komut yürütme, ekran görüntüsü toplama ve kalıcılık dahil olmak üzere çeşitli yararlı işlevler sunar; bu da, güvenliği ihlal edilmiş ağ ortamlarında daha uzun vadeli, kalıcı erişimi kolaylaştırmak için ilk erişim elde edildikten sonra sistemlerde kullanımını cazip hale getirir ” dedi Cisco Talos.
Kaynak kodunun analizi, kötü amaçlı yazılımın, Rhadamanthys bilgi çalan yazılımıyla birlikte TA866 (diğer adıyla Asylum Ambuscade) adlı bir izinsiz giriş setinin parçası olarak yerleştirilen bir uzlaşma sonrası implant olan Resident ile muhtemelen aynı tehdit aktörleri tarafından geliştirildiğini gösteriyor. Bu kampanyalarda imalat sektörü öne çıkarılmış, ardından hükümet ve mali hizmetler sektörü yakından takip edilmiştir.
“Dağıtım kampanyalarıyla ilgili uzun vadeli hedefleme ayrım gözetmiyor gibi görünse de, takip eden yüklerin gözlemlendiği vakaların çoğu Amerika Birleşik Devletleri’ndeydi; ek vakalar ise Kanada, Birleşik Krallık, Almanya, İtalya, Avusturya ve Hollanda’ya yayıldı. ” dedi Talos.