CoFense Kimlik Yardım Savunma Merkezi, Google Apps Scripts’i, aldatıcı kimlik avı sayfalarını barındırmak için Google’ın ekosistemindeki meşru bir geliştirme platformundan yararlanan son derece stratejik bir kimlik avı kampanyası ortaya çıkardı.
Bir fatura e -postası olarak maskelenen bu saldırı, alıcıları hassas bilgileri ifşa etmek için alıcıları kandırmak için Google’ın güvenilir ortamında yer alan doğal güvenden yararlanıyor.
Sofistike bir kimlik avı kampanyası
Kötü niyetli içeriği komut dosyası gibi saygın bir etki alanına yerleştirerek[.]google[.]Com, tehdit aktörleri, tipik şüpheyi atlayan ve bunu özellikle sinsi bir sosyal mühendislik biçimi haline getiren bir özgünlük yanılsaması yaratıyor.
.png
)
Bu kampanya, güvenilir teknoloji devlerinden planlarını uygulamaya kadar giderek daha fazla silahlandıran siber suçluların artan sofistike olmasının altını çiziyor.
Cofense Kimlik Avı Savunma Merkezi raporuna göre, saldırı, sakatlık ve sağlık ekipmanlarıyla uğraşan meşru bir şirketin alanını sahte olarak, kendisini acil bir fatura olarak sunarak görünüşte zararsız bir e -posta ile başlıyor.
E -postanın minimalist tasarımı ve belirsiz içeriği kasıtlıdır, stres veya merak uyandırmayı ve alıcıları tereddüt etmeden gömülü bağlantıyı tıklamayı istemektedir.
Saldırı nasıl ortaya çıkıyor ve güvenden yararlanıyor
Bu gibi kısa e -postaların spam filtrelerini tetikleme veya aksi takdirde aldatmacayı ortaya çıkarabilecek hataları ortaya çıkarma olasılığı daha düşüktür.
Bağlantıyı tıkladıktan sonra, kurbanlar Google’ın platformunda barındırılan sahte bir fatura sayfasına yönlendirilir ve burada ince bir “önizleme” düğmesi daha fazla etkileşime neden olur.
Bu düğmeye tıklamak, meşru bir kimlik doğrulama portalını taklit etmek için titizlikle hazırlanmış bir hileli oturum açma penceresini açıklar.
Google’ın etki alanının kullanımı, saldırganların e -posta kimlik bilgilerini ve şifreleri hasat etmeye güvendiği “Google, bu yüzden güvenli olması gerekir” zihniyetinden yararlanarak yanlış bir güvenlik duygusu aşılar.
Girildikten sonra, bu kimlik bilgileri bir PHP komut dosyası aracılığıyla yakalanır ve saldırgana iletilir, bundan sonra kullanıcı şüphe önlemek için gerçek bir Microsoft giriş sayfasına sorunsuz bir şekilde yönlendirilir.
Bu yeniden yönlendirme taktiği, tespiti geciktirmek için akıllıca bir harekettir ve potansiyel olarak saldırganların hassas sistemlere sızmasına izin vererek veri ihlallerine veya finansal kayıplara yol açar.
Kampanya, meşru ve güvenli olmayan dijital etkileşimler arasındaki çizgileri bulanıklaştırarak kötü niyetli niyet için nasıl yeniden tasarlanabileceğini örneklendiriyor.
Güvenilir alanların bile siber suçlar için kanal görevi görebileceğinden, artan uyanıklık için kritik ihtiyacı vurgular.
Kuruluşlar, bu gelişen taktikleri gerçek zamanlı olarak karşı koymak için bu tür tehditlerin tanınması ve Cofense’nin yönetilen kimlik avı tespiti ve yanıtı (MPDR) gibi sağlam kimlik avı tespit çözümlerini benimsemelidir.
Uzlaşma Göstergeleri (IOC)
| Tip | Detaylar |
|---|---|
| Enfeksiyon URL’si | hxxps: // senaryo[.]google[.]com/makro/s/akfyc…/exec?… Outlook[.]Office365[.]com/şifreleme/msi2auth64 |
| Enfeksiyon IPS | 142.251.16.106, 142.251.16.147, 142.251.16.104, 142.251.16.105, 142.251.16.99, 142.251.16.103 |
| Yük URL’si | Hxxps: // solinec[.]com/api/1YJDL_AUXTSHRHXIUFJU0FBE4D2WAMEM3WJL_LX[.]PHP |
| Yük ip | 167.250.5.66 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!