Cyberarmor, meşru bir uzaktan erişim aracı olan Logmein’in kötü niyetli bir varyantını dağıtmak için yaygın olarak kullanılan bir ön uç barındırma platformu olan Vercel’den yararlanan gelişmiş bir kimlik avı kampanyası ortaya çıkardı.
Son iki ay boyunca, tehdit aktörleri en az 28 farklı kampanya düzenledi ve 1.271’den fazla kullanıcıyı Vercel alt alanlarında barındırılan hileli sayfalara yol açan aldatıcı e -postalarla hedef aldı.
Meşru platformların akıllı kötüye kullanımı
Adobe PDF görüntüleyici gibi güvenilir arayüzleri taklit etmek için tasarlanmış bu sayfalar, kullanıcıları meşru bir belge olarak gizlenmiş kötü amaçlı bir yürütülebilir dosyayı indirmeye kandırıyor.
.png
)
Bu dosya, yürütüldükten sonra, bir Logmein sunucusuna bağlantı kurar ve siber suçlulara kurbanın makinesi üzerinde tam uzaktan kumanda verir.
Genellikle güvenilir kalkınma projeleriyle ilişkili Vercel gibi meşru bir platformun kullanılması, kimlik avı sitelerine güvenilirlik havası verir, bu da kullanıcıların ve güvenlik araçlarının tespit etmesi için onları zorlaştırır.
Bu kampanyanın başarısı, güçlü bir sosyal mühendislik karışımına ve güvenilir yazılımın kötüye kullanılmasına bağlıdır.
Kimlik avı e-postaları genellikle ödenmemiş faturalar veya alıcıları kötü amaçlı vercel barındıran sayfalara yönlendiren gömülü bağlantıları tıklamaya yönlendiren teslimat güncellemeleri gibi acil bildirimler olarak poz verir.
Meşru araçlar tehdit etkisini artırıyor
Ziyaret ettikten sonra, kurbanlar “fatura06092025.exe.bin” adlı bir dosya indirmeye zorlanır (belirli karmalarla: MD5 F3F8379CE6E0B8F80FAF2597FCBCC353ABE759EC97FCBC3A26262 ve SHA256 0A1A85A026B6D477F59BC3D965B07D0D06E6FF2D34381AFF79EE71C38FED802B).
Bu saldırıyı özellikle sinsi yapan şey, Logmein’in kendisinin, doğal olarak kötü niyetli olmadığı için birçok güvenlik çözümü tarafından tespitten kaçınan gerçek bir uzaktan erişim aracıdır.
Mağdurlar, genellikle meşru teknik destek aldıkları izlenimi altında, yazılımı gönüllü olarak yüklüyor, bilinmeden sistemlerine erişimi teslim ediyorlar.
Meşru altyapı ve yazılımdan yararlanma taktiği, kötü niyetli niyetleri güvenilir ortamlarla harmanlamak için siber suçlular arasında büyüyen bir eğilimin altını çizerek erken tespit ve hafifletme zorluğunu artırıyor.
Rapora göre, Cyberarmor kuruluşlara bu tür tehditlere karşı proaktif savunmalar benimsemelerini tavsiye ediyor.
Bu, kimlik avı içeriğini barındırmak için giderek daha fazla istismar edilen şüpheli Vercel alt alanlarına erişimin izlenmesini ve kısıtlanmasını içerir.
Ayrıca, çalışanları sahte destek dolandırıcılığı ve istenmeyen uzaktan yardım tekliflerinin riskleri konusunda eğitmek kritik öneme sahiptir.
Uzaktan erişim araçlarının kurulumu üzerinde katı kontrollerin uygulanması, maruziyeti daha da azaltabilir.
Siber suçlular, faaliyetlerini maskelemek için Vercel gibi güvenilir platformlardan yararlanmaya devam ettikçe, uyanık izleme, kullanıcı farkındalığı ve sağlam politika uygulama kombinasyonu bu gelişen tehditlerin önünde kalmak için gereklidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| MD5 | E230BF859E582FE95DF0B203892048DF |
| MD5 | F |
| MD5 | F |
| MD5 | 322A92B443FAEF48FCE629E8947E4E2 |
| Alanlar | Ödensiz[.]Uygulama, Waybill-DeliveryTicket.vercel[.]Uygulama ve diğerleri (orijinal raporda tam liste mevcut) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin