Tehdit aktörleri, bireyleri oturum açma bilgileri veya finansal veriler gibi önemli ayrıntıları vermeleri için kandırmak amacıyla kimlik avı dolandırıcılığı kullanır.
Sosyal mühendislik yoluyla insanın güvenini aldatmanın, ucuz hale getirmenin ve dolayısıyla yetkisiz erişim ve kimlik hırsızlığı vakalarında yaygın olarak kullanılan bir yöntemdir.
Lookout'taki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin, kullanıcıları oturum açma kimlik bilgilerini paylaşmaları için kandırmak amacıyla yeni SSO tabanlı kimlik avı saldırısını aktif olarak kullandıklarını keşfetti.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanı ve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Teknik Analiz
Yakın zamanda Lookout tarafından cep telefonlarında kripto paraları ve Federal İletişim Komisyonu'nu (FCC) hedef alan yeni bir kimlik avı kiti bulundu.
Kurbanları kimlik bilgilerini ve kimliklerini paylaşmaları için kandırmak amacıyla e-posta, SMS ve sesli kimlik avı kullanarak SSO sayfalarını klonlayan Scattered Spider'dan ilham aldı.
Bunun yanında öncelikle ABD'deki mağdurları etkilediği kaydedildi.
Aşağıda, tüm mağdurların hedef alındığı tüm platform ve kuruluşlardan bahsettik: –
- Federal İletişim Komisyonu (FCC)
- Binance
- Coinbase
- Binance
- Coinbase
- İkizler burcu
- Kraken
- ShakePay
- Caleb ve Brown
- Güvenli
- AOL
- Gmail
- iCloud'da
- Okta
- Görünüm
- heyecan
- yahoo
Lookout, kimlik avı kitini, CISA tarafından belirlenen Dağınık Örümcek modeline benzeyen şüpheli bir alanın otomatik analizi yoluyla tespit etti.
Şüpheli etki alanı“fcc-okta[.]com” FCC'nin yasal SSO sayfasına benzer. Bu alan adı, tespit edilmekten kaçınmak için kurbanları bir captcha ile kandırır ve güvenilirlik katar.
Captcha'nın ardından sahte FCC Okta sayfası kurbanları oyalıyor. Kimlik avı için acele eden sıradan kimlik avı kitlerinin aksine, MFA farkındalığıyla modern güvenliğe uyum sağlar.
Lookout, kimlik avı sayfasını izleyen bir yönetici konsolu buldu. Doğrudan erişilemedi ancak JavaScript ve CSS'sine dolaylı erişim sağlandı.
Her kurban girişi, tabloya yeni bir satır ekler ve tehdit aktörü, oturum açtıktan sonra kurbanları nereye göndereceğini seçer.
Bunun yanı sıra yönlendirmeler, kimlik doğrulama uygulaması veya SMS gibi MFA istek türüne dayanır.
Çok Faktörlü Kimlik Doğrulama jetonu gönderirken gönderen, kurbanın numarasının son rakamları ve 6 veya 7 haneli kod gibi ayrıntıları gizleyebilir.
Kimlik avı kiti araştırması, kripto ve SSO odağını ortaya çıkarıyor. Kit FCC Okta'yı ve çeşitli markaları taklit ederken.
Kit kullanılarak ve çoğunlukla resmi sunucu altında bulunan Lookout ID siteleri[.]com C2. Bu olayda Binance ve Coinbase çalışanlarının hedef alındığı ve bunlar arasında en çok hedef alınanın Coinbase olduğu kaydedildi.
Bunun yanı sıra, yeni alan adları orijinal arka uçla ilişkilendirildi[.]Gözcü araştırmacılar, çalınan yüksek kaliteli kimlik bilgilerini tespit ederek arka uç günlüklerine kısa süreli erişim elde etti.
100'den fazla kurbana kimlik avı yapıldı ve aktif siteler hâlâ veri toplamaya devam ediyor. Kimlik avı kiti dosyaları C2 URL'sini, veri toplama mantığını ve stil sayfalarını içerir.
Kurbanlar, tehdit aktörünü “Amerikalı” ve yetenekli olarak tanımlıyor. Saldırı, ABD'de başta iOS ve Android olmak üzere mobil cihazları hedef alıyor.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve kimlik avı kitleri aracılığıyla dağıtılan sıfır gün açıklarından yararlanmalar da dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.