Güvenlik önlemlerini atlamak ve giriş kimlik bilgilerini çalmak için meşru Microsoft Dynamics altyapısını kullanan çok katmanlı bir saldırı yoluyla Gmail kullanıcılarını hedefleyen gelişmiş yeni bir kimlik avı kampanyası.
Saldırı, meşru sesli mesaj hizmetlerinden geliyor gibi görünen aldatıcı “yeni ses bildirimi” e -postalarıyla başlar. Bu e -postalar, sahte gönderen bilgileri içerir ve kurbanları karmaşık bir uzlaşmacı web sitesi zinciri aracılığıyla yönlendiren önemli “sesli mesaj dinle” düğmeleri içerir.
Kimlik avı operasyonu, saldırının ilk aşamasına ev sahipliği yapmak için Microsoft’un meşru Dynamics pazarlama platformunu (varlıklar-eur.mkt.dynamics.com) kullanarak özellikle akıllı bir başlangıç vektörü kullanıyor.
Bu teknik anında güvenilirlik sağlar ve tipik olarak şüpheli alanları işaretleyen e -posta güvenlik filtrelerinden kaçmaya yardımcı olur.
Kötü niyetli bağlantıyı tıkladıktan sonra, kurbanlar Horkyrown’da barındırılan bir Captcha sayfasına yönlendirilir[.]com, Pakistan’da kayıtlı bir alan.
Captcha, saldırı altyapısının bir parçası olurken meşru güvenlik önlemlerinin yanılsamasını yaratan bir güven oluşturma mekanizması olarak hizmet eder.
Son aşama, kullanıcılara Google markalaşma ve otantik görünümlü arayüz öğeleriyle birlikte Gmail’in giriş sayfasının piksel mükemmel bir kopyasını sunar.
Sahte giriş formu, iki faktörlü kimlik doğrulama kodları, yedekleme kodları ve güvenlik soruları dahil olmak üzere hem birincil kimlik bilgilerini hem de gelişmiş güvenlik önlemlerini yakalar.
Gelişmiş Kırılma Teknikleri
Güvenlik analisti Anurag, sahte giriş sayfasına güç veren kötü amaçlı JavaScript’in sofistike gizleme yöntemleri kullandığını gözlemledi.
Kod, gerçek işlevselliğini gizlemek için AES şifrelemesini kullanır ve geliştirici araçları açıldığında kullanıcıları meşru Google oturum açma sayfalarına yönlendiren anti-kötü niyetli özellikler içerir.
Saldırı ayrıca Rusya’daki sunuculara birden fazla yeniden yönlendirme katmanı ve siteler arası isteklerden yararlanıyor (PROPXQHA[.]Ru), algılamadan kaçınmak ve adli analizi karmaşıklaştırmak için tasarlanmış karmaşık bir uluslararası altyapı gösteren.
Mağdurlar bilgilerine girdikten sonra, kötü amaçlı komut dosyası, girilen tüm verileri şifreli kanallar aracılığıyla sistematik olarak yakalar ve söndürür. Sistem, aşağıdakileri içeren çeşitli Gmail güvenlik özelliklerini işlemek için tasarlanmıştır:
- Birincil e -posta ve şifre kombinasyonları
- SMS ve Sesli Çağrı Doğrulama Kodları
- Google Authenticator Jetons
- Yedek Kurtarma Kodları
- Alternatif e -posta adresleri
- Güvenlik Soru Yanıtları
Çalıntı kimlik bilgileri derhal saldırgan kontrollü sunuculara iletilir ve kurbanlar hedeflendiklerini fark etmeden önce hızlı hesap uzlaşmasına izin verir.
Bu kampanya, sosyal mühendisliği meşru altyapı kötüye kullanımı ve ileri teknik kaçırma yöntemleriyle birleştirerek kimlik avı tekniklerinde önemli bir evrimi temsil etmektedir.
Microsoft’un Dynamics platformunun kullanımı özellikle saldırganların güvenilirliklerini artırmak için güvenilir hizmetleri nasıl kullandıklarını göstermektedir.
Gmail kullanıcıları, istenmeyen sesli mesaj bildirimleri için uyanık kalmalı ve resmi kanallar aracılığıyla giriş isteklerinin gerçekliğini doğrulamalıdır.
Kuruluşlar ek e -posta güvenlik önlemleri uygulamalı ve kullanıcıları bu gelişen tehdit vektörleri hakkında eğitmelidir.
Horkyrown alan adı[.]com Onamae aracılığıyla kayıtlı birincil saldırı altyapısı olarak tanımlandı[.]Com, Karaçi, Pakistan’a bağlanan halka açık tescil ettiren bilgileriyle.
Güvenlik ekiplerine, ilk uzlaşma vektörleri olarak meşru pazarlama platformlarını kullanarak bu alan adını engellemesi ve benzer kampanyalar için izlemeleri tavsiye edilir.
Hedeflenebileceğine inanan kullanıcılar, Google hesap şifrelerini derhal değiştirmeli ve son hesap etkinliklerini gözden geçirmelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.