Saldırganlar artık kötü amaçlı JavaScript kodunu yürütmek için Ölçeklenebilir Vektör Grafikleri (SVG) dosyalarını kullanan şifrelenmiş kimlik avı e-postalarından yararlanıyor.
Kimlik avı kampanyası, yeni bir sesli mesaj bildirimi gibi görünen bir e-postayla başlar.
Alıcılardan bu mesaja erişmek için bir bağlantıya tıklamaları isteniyor; bu, insanın merakını ve iletişimin aciliyetini kullanan klasik bir cazibe.
Bağlantıya tıklandığında hedef, oldukça karmaşık HTML verileriyle dolu bir sayfaya yönlendirilir.
Saldırganların yaratıcılığının devreye girdiği yer burasıdır. Sayfa kurbanın sisteminde oluşturulduktan sonra çalıştırılan bir SVG görüntüsünün içine JavaScript kodunu yerleştiriyorlar.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
İkili Savunma’nın bir bölümü olan ARC Labs tarafından ortaya çıkarılan bu yeni taktik, görünüşte zararsız sesli mesaj bildirimleriyle hedefleri kandırarak kimlik bilgileri toplamayı amaçlayan kimlik avı kampanyalarında endişe verici bir evrime işaret ediyor.
SVG: Saldırı İçin Bir Vektör
Web grafiklerinde ölçeklenebilirlikleri ve kaliteleri nedeniyle yaygın olarak kullanılan SVG dosyaları artık JavaScript’i yürütmek için silah haline getiriliyor.
Bu yöntem, görüntü dosyalarını kötü amaçlı kodlara karşı incelemeyebilecek geleneksel güvenlik önlemlerini atladığı için özellikle sinsidir.
Şifreli Veri ve İkinci Aşama
ARC Laboratuvarları, SVG içerisinde, şifresi çözüldüğünde kimlik avı saldırısında ikinci aşamayı ortaya çıkaran şifrelenmiş veriler keşfetti.
Bu aşamada mağdurun sesli mesaja erişmek için kimlik bilgilerini girmesi istenir.
Bu verilerin şifresinin çözülmesi, JavaScript içindeki verilerin şifrelenmesine ve şifresinin çözülmesine olanak tanıyan bir kitaplık olan CryptoJS tarafından kolaylaştırılır.
Bu saldırının karmaşıklığı, CryptoJS kullanılarak dinamik olarak şifresi çözülen birden fazla HTML sınıfında ikinci aşama sayfa verilerinin şifrelenmesinde yatmaktadır.
Bu yaklaşım, yalnızca kötü niyetli niyeti gizlemekle kalmaz, aynı zamanda kimlik avı girişiminin analizini ve tespitini de karmaşık hale getirir.
ARC Labs’ın çalışma zamanı sırasında JavaScript kodunu analiz etmesi, bu saldırının mekanizmasının ortaya çıkarılması açısından çok önemliydi.
Araştırmacılar, CryptoJS’nin her çağrısında kesme noktaları ayarlayarak, içeriğin şifresini çözmede ve kimlik avı girişiminin tüm kapsamını anlamada kritik bir adım olan şifre çözme anahtarını kurtardı.
Bu vaka çalışması, siber tehditlerin gelişen ortamını ve saldırganların kişisel bilgileri tehlikeye atmak için kullandığı yenilikçi yöntemleri net bir şekilde hatırlatıyor.
Kullanıcıların, özellikle kimlik bilgisi girişi isteyen harici sayfalara yönlendiren e-postalar eylem çağrısında bulunduğunda dikkatli olmaları tavsiye edilir.
Kuruluşlar için, ortaya çıkan tehditlerin analizi ve anlaşılması da dahil olmak üzere kapsamlı güvenlik önlemlerinin önemi göz ardı edilemez.
Saldırganlar tekniklerini geliştirdikçe bilgili ve tetikte olmak, bu şifreli kimlik avı saldırılarına karşı en iyi savunmadır.
Kimlik avı kampanyalarında SVG dosyalarının silah haline getirilmesi, siber suçluların kullandığı taktiklerde önemli bir değişikliği temsil ediyor.
Saldırganlar, SVG görüntülerindeki şifrelenmiş verilerden kötü amaçlı JavaScript kodu elde ederek güvenlik önlemlerini atlamanın ve insani güvenlik açıklarından yararlanmanın yeni yollarını buluyor.
ARC Labs tarafından yürütülen analiz, bu karmaşık saldırı yöntemini aydınlatıyor, mekanizmasına dair değerli bilgiler sunuyor ve artırılmış farkındalık ve güvenlik uygulamalarına olan ihtiyacı vurguluyor.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.