Meşru Zoom belge paylaşım özellikleri aracılığıyla iş arayanları hedef alan karmaşık bir kimlik avı kampanyası ortaya çıktı; bu, siber suçluların Gmail kimlik bilgilerini toplamak için güvenilir platformlardan nasıl yararlandığını gösteriyor.
Saldırı, İK departmanlarının kimliğine bürünerek ve kullanıcı şüphesini ve geleneksel güvenlik önlemlerini atlatmak için orijinal Zoom bildirimlerini kullanarak sosyal mühendislik taktiklerinden yararlanıyor.
Kampanya, mağdurların “İK Departmanlarından Zoom Dokümanları aracılığıyla” meşru görünen, “İK Departmanları sizi ‘BELGELERİ GÖRÜNTÜLEMEYE davet etti” gibi konuları içeren e-postalar almasıyla başlıyor.
Bu mesajlar, SPF, DKIM ve DMARC doğrulaması da dahil olmak üzere standart e-posta kimlik doğrulama protokollerini geçerek hem kullanıcılar hem de güvenlik sistemleri için tamamen meşru görünmelerini sağlar.
Saldırganlar, potansiyel istihdam fırsatlarına yanıt verme istekliliklerinden yararlanarak aktif olarak iş arayan bireyleri stratejik olarak hedef alıyor.
Kurbanlar, Zoom belgesi bağlantısına tıkladıklarında, dikkatlice düzenlenmiş kötü amaçlı web siteleri zinciri yoluyla yönlendiriliyor.
İlk yönlendirme, saldırganların iki amaca hizmet etmek üzere tasarlanmış sahte bir “bot koruması” kapısı uyguladığı overflow.qyrix.com.de adresine yol açıyor: otomatik güvenlik analizi araçlarını engellemek ve şüphelenmeyen kullanıcılar için bir meşruiyet yanılsaması yaratmak.
Siber Güvenlik Araştırmacısı Himanshu Anand, bu kampanyayı iş arama sırasında gelen kutusundaki şüpheli e-postaları analiz ederken tespit etti.
Ayrıntılı araştırması, saldırı altyapısının karmaşık doğasını ve tehdit aktörleri tarafından kullanılan gerçek zamanlı kimlik bilgileri sızma mekanizmalarını ortaya çıkardı.
Kullanıcılar sahte CAPTCHA doğrulamasını tamamladıktan sonra, aynı kötü amaçlı alan adında barındırılan ikna edici bir Gmail kimlik avı sayfasına yönlendiriliyorlar.
Sahte giriş arayüzü, normal koşullar altında güvenlik bilincine sahip kullanıcıları bile kandırabilecek uygun markalama, düzen ve etkileşimli öğelerle tamamlanan, Google’ın orijinal oturum açma portalını yakından taklit eder.
WebSocket Aracılığıyla Gerçek Zamanlı Kimlik Bilgilerinin Süzülmesi
Bu kampanyanın en endişe verici yönü, saldırganların WebSocket bağlantıları aracılığıyla gerçek zamanlı kimlik bilgileri toplama işlemini gerçekleştirmesidir.
.webp)
Kurbanlar kimlik avı sayfasına Gmail kullanıcı adlarını ve şifrelerini girdikten sonra çalınan kimlik bilgileri, overflow.qyrix.com.de/websocket/socket.io/ adresindeki aktif bir WebSocket bağlantısı aracılığıyla saldırganların komuta ve kontrol sunucusuna hemen iletilir.
Bu canlı sızma yöntemi, siber suçlulara çeşitli avantajlar sağlar. Birincisi, çalınan kimlik bilgilerinin Google’ın kimlik doğrulama sistemlerine göre anında doğrulanmasına olanak tanıyarak saldırganların hangi hesapları başarılı bir şekilde ele geçirebileceklerini hızlı bir şekilde belirlemelerine olanak tanıyor.
İkincisi, WebSocket protokolü, geleneksel HTTP POST istekleriyle karşılaştırıldığında daha hızlı veri iletimini kolaylaştırarak güvenlik sistemlerinin kötü amaçlı etkinliği tespit etmesi ve engellemesi için fırsat penceresini azaltır.
Teknik uygulama, birden fazla eşzamanlı oturumu yönetecek ve kurban tarayıcılarıyla kalıcı bağlantıları sürdürecek şekilde yapılandırılmış kimlik avı altyapısıyla birlikte gelişmiş programlama bilgisini ortaya koyuyor.
Ağ analizi, WebSocket trafiğinin kimlik doğrulama belirteçleri ve oturum çerezleri içerdiğini gösteriyor; bu da saldırganların, kimlik bilgisi hırsızlığının ardından hemen hesap ele geçirme girişimlerine hazırlandıklarını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
