Dijital aldatma taktiklerinin önemli bir artışında, tehdit aktörleri sadece Mart 2025’te meşru markaları ve devlet hizmetlerini taklit etmek için tasarlanmış 26.000’den fazla alan kaydetti.
Bu kötü niyetli alanlar, şüphesiz kullanıcıların meşru hizmetler gibi görünen şeyle bağlantılar içeren metin mesajları aldığı sofistike smaching (SMS kimlik avı) kampanyaları için açılış sayfaları olarak işlev görür.
Alanlar, otantik marka isimlerini şüpheli alt alanlarla harmanlayan ve kullanıcıları hileli bilgi sağlamaya veya hileli portallar aracılığıyla ödeme yapmak için yeterli görsel meşruiyet yaratan belirli adlandırma modellerini takip ediyor.
.png
)
Bu büyük ölçekli kampanya, 2024’ün başlarında çekiş almaya başlayan bir tekniğin dramatik bir şekilde genişlemesini temsil ediyor ve araştırmacılar şu anda FBI’ın geçen Nisan ayında ilk uyarısını vermesinden bu yana bu saldırılarda kullanılan 91.500’den fazla kök alanını izliyor.
Kampanyanın kapsamı, kullanıcıların tipik olarak teslimat bildirimleri, geçiş ödemeleri ve devlet iletişimi gibi derhal işlem gerektiren metin bildirimleri almayı bekledikleri hizmetleri hedefleyen önemli ölçüde arttı.
Palo Alto Networks araştırmacıları, bu kötü amaçlı alanların% 75’inden fazlasının aynı kayıt şirketini-Hong Kong merkezli Dominet (HK) Limited-paylaştığını, tek bir tehdit aktörü veya organize grup tarafından düzenlenen koordineli bir kampanyayı desteklediğini belirledi.
Araştırmacıların telemetrisi endişe verici istatistikler ortaya koydu ve sadece son çeyrekte bu alanlar için 31 milyondan fazla sorgu tespit etti ve bu da saldırganların yöntemlerinin yaygın etkinliğini gösterdi.
Kampanyanın başarısı kısmen geçici doğasından kaynaklanmaktadır ve bu alanlara yapılan trafiğin yaklaşık% 70’i kayıttan sonraki ilk yedi gün içinde meydana geliyor.
Bu kısa operasyonel ömrü, saldırganların güvenlik kontrollerinin ve blok listelerinin önünde kalmasına yardımcı olur, bu da yeni kayıtlı alanları mağduriyeti önleyecek kadar hızlı bir şekilde tanımlayamaz ve engelleyemez.
Saldırı trafiğinin analizi, 2025 döneminde bir önceki yıla kıyasla aktivitede önemli bir artışı ortaya koyarak tehdit aktörlerinin bu tekniğe artan güven ve kaynak yatırımını gösteriyor.
Etki alanı desen analizi ve algılama zorlukları
Kötü niyetli alanlar, her biri ilk bakışta meşru görünmek için özenle hazırlanmış dört farklı adlandırma kuralını takip eder.
Yaygın desenler arasında “com-[random alphanumeric string].[TLD]”Ve” Gov-[random alphanumeric string].[TLD]”Meşru URL yapılarını görsel olarak taklit ediyor.
Örneğin, Kentucky sürüş hizmetleri gibi görünen şey için sahte ödeme bildirimleriyle kullanıcıları hedeflemek için “hxxps: //driveky.gov-mfc.com/pay” URL’si ile yakın zamanda kayıtlı bir “Gov-mfc.com” kullanıldı.
Benzer şekilde, başka bir “com-ic1.top” etki alanı, Amerika Birleşik Devletleri Posta Hizmetini taklit etmek için “hxxps: //usps.com-ic1.top/us” aldatıcı URL’sini oluşturdu.
Güvenlik araştırmacıları, yeni kayıtlı alanların (NRD’ler) bir aylık bir süre için engellenmesinin, bu kötü amaçlı trafiğin yaklaşık% 85’ini etkili bir şekilde filtreleyebileceğini belirtiyor.
Bununla birlikte, saldırganlar, siteye kim eriştiğine bağlı olarak farklı içerik gösteren sofistike gizleme yöntemleri uygulayarak tekniklerini geliştirmeye devam eder ve algılamayı hem kullanıcılar hem de otomatik güvenlik sistemleri için giderek daha zor hale getirir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy