.Com üst düzey alan adı, siber suçlu manzaraya, kimlik avı web sitelerini barındırmanın birincil aracı olarak hakim olmaya devam eder ve dünya çapında tehdit aktörleri tarafından en kapsamlı istismar TLD’si olarak pozisyonunu korur.
Son istihbarat, kötü niyetli aktörlerin, kurbanları çeşitli platform ve hizmetlerde hassas giriş kimlik bilgilerini teslim etmek için aldatmak için .com alanlarının güvenilir itibarını ve yaygın olarak tanındığını gösteriyor.
Siber suçlular .com TLD’yi, görünüşte meşru iletişimlere gömülü birinci aşama URL’ler içeren özenle hazırlanmış kimlik avı e-postalarıyla başlayan gelişmiş çok aşamalı saldırı vektörleri aracılığıyla kullanırlar.
Bu ilk bağlantılar, kurbanları gerçek kimlik bilgisi hasatının gerçekleştiği ikinci aşama URL’lere yönlendirerek, algılama sistemlerinden kaçmaya yardımcı olan ve kampanya başarı oranlarını artıran katmanlı bir yaklaşım yaratır.
.Com etki alanı kötüye kullanımının yaygınlığı, evrensel kabulünden kaynaklanmaktadır ve kullanıcıların bu tanıdık uzantıya yerleştirilmesinden kaynaklanmaktadır.
Şüphe yaratabilecek ülkeye özgü TLD’lerin aksine, .com alan adları, meşru web trafiğine sorunsuz bir şekilde uyum sağlar ve bu da onları birden fazla sektör ve sektörde küresel kitleleri hedefleyen sürekli kötü niyetli operasyonlar için idealdir.
.webp)
CoFense araştırmacıları, .com alanlarını kullanan tehdit aktörlerinin hedefleme tercihlerinde dikkate değer bir tutarlılık gösterdiğini belirlediler ve Microsoft ile ilgili hizmetler kimlik avı kampanyalarında sahte markaların ezici çoğunluğunu temsil ediyorlar.
Bu model, Microsoft’un işletme çözümlerinin yaygınlığını ve sonraki saldırılar için kurumsal kimlik bilgilerinin yüksek değerli doğasını yansıtır.
Altyapı ve barındırma kalıpları
.Com tabanlı kimlik avı destekleyen teknik altyapı, modern tehdit aktörleri tarafından kullanılan sofistike operasyonel güvenlik önlemlerini ortaya koymaktadır.
Kötü niyetli .com alanlarının analizi, özellikle suç operasyonları için hem güvenilirlik hem de anonimlik sağlayan bulut barındırma hizmetlerinin, özellikle CloudFlare’nin kapsamlı kullanımını göstermektedir.
Barındırma modeli tipik olarak, insan tarafından okunabilen metin yerine rastgele alfasayısal dizeler olarak görünen dinamik olarak üretilen alt alanlara sahip meşru temel alanları içerir.
Example malicious subdomain structure:
https://ag7sr.legitimatesite.com/login
https://md6h60.businessdomain.com/secureBu alt alanlar, otomatik güvenlik tarayıcılarını filtrelerken meşru görünmenin ikili amaçlarına hizmet eden Cloudflare Turnstile captcha sistemleri de dahil olmak üzere gelişmiş kaçaklama tekniklerini içeren tamamen işlevsel kimlik bilgisi avlama sayfalarına ev sahipliği yapar.
Temel alanlar genellikle ulaşılamaz veya iyi huylu içerik gösterirken, alt alanlar popüler oturum açma portallarının ikna edici kopyaları yoluyla aktif olarak kimlik bilgilerini hasat eder.
Tehdit aktörleri tarafından operasyonel etkinliklerini en üst düzeye çıkarmak için kullanılan bu kötü niyetli uç noktaların sahte rastgele doğasını gösteren .com tabanlı kimlik avı kampanyalarında gözlemlenen tipik alt alan üretimi paterni.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi