Siber suçlular, aldatıcı SMS kimlik avı (smishing) saldırıları yoluyla kötü amaçlı yazılımları dağıtmak için marka taklit etme tekniklerinden yararlanan sofistike bir kampanya başlattı.
Bu ortaya çıkan tehdit, saldırganların kullanıcı şüpheciliği ve güvenlik filtrelerini atlamak için güvenilir marka isimleri içeren stratejik olarak URL’ler oluşturdukları sosyal mühendislik taktiklerinde bir evrim göstermektedir.
Saldırı metodolojisi, yanlış meşruiyet yaratmak için URL yapılarını manipüle etmeye odaklanır.
Tehdit aktörleri, tanınabilir marka isimlerini kötü amaçlı URL’lere “@” sembolünden önce yerleştirir ve ardından gerçek kötü amaçlı alan izler.
Bu teknik, kullanıcı psikolojisini kullanır, çünkü alıcılar tam URL yapısını incelemek yerine genellikle tanıdık marka isimlerine odaklanır.
Ünite 42 Araştırmacılar, bu saldırı dalgasının basit URL manipülasyonunun ötesine uzandığını ve güvenilirliği artırmak için aldatıcı bir şekilde adlandırılmış grup mesajlaşma kampanyaları ve stratejik olarak yaşlı ana bilgisayar adlarını içerdiğini belirledi.
Saldırganlar, görünür meşruiyeti korurken ek bir şaşkınlık katmanı sağlayan .xin etki alanı uzantılarını kullanmaya özel bir ilgi göstermiştir.
Kampanyalar genellikle, alıcıları hesap doğrulaması, teslimat bildirimleri veya güvenlik uyarıları için kötü amaçlı bağlantıları tıklamaya yönlendirerek meşru kuruluşlardan kaynaklanan SMS mesajları aracılığıyla başlatır.
Etkileşim üzerine, bu URL’ler kullanıcıları kimlik bilgisi hasat sayfalarına yönlendirir veya mobil ve masaüstü platformlarını hedefleyen otomatik kötü amaçlı yazılım indirmelerini tetikler.
Gelişmiş enfeksiyon mekanizmaları ve alan taktikleri
Bu saldırıların sofistike doğası, çok aşamalı enfeksiyon süreçlerinde ve alan hazırlama stratejilerinde yatmaktadır. Saldırganlar aylar önce alan adlarını önceden kaydederek otomatik güvenlik taramasından kaçan etki alanı itibar puanları oluşturmalarını sağlar.
Kötü niyetli altyapı, izleme çabalarını karmaşıklaştırmak için dönen alt alan ve URL kısaltma hizmetleri kullanır.
Example malicious URL structure:
hxxps://[email protected]/verify-accountYükü dağıtım mekanizması, platforma özgü kötü amaçlı yazılım varyantlarını dağıtmadan önce ilk tıklamaların cihaz parmak izi verilerini topladığı aşamalı profil oluşturma kullanır.
Bu yaklaşım, statik URL analizine dayanan güvenlik çözümleri tarafından algılanmayı en aza indirirken enfeksiyon başarı oranlarını en üst düzeye çıkarır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
