Tycoon 2FA Phish-kit ile gelişmiş bir kimlik avı kampanyası tespit edildi, Amazon Simple Email Service (SES) ve bir dizi yüksek profilli yönlendirmeden yararlanarak kullanıcı kimlik bilgilerini çalıyor. Tespit edilmekten kaçınmak için titizlikle tasarlanan saldırı zinciri, birden fazla aşamayı içeriyor ve çeşitli tehlikeye atılmış etki alanları ve hizmetleri kullanıyor.
Phishing’e göre örnek analizi, Kimlik avı saldırısı, bir Amazon SES istemcisinden gönderilen bir e-postayla başlar. Bu e-postalar genellikle geçerli bir imza içerir ve bir meşruiyet katmanı ekler.
E-posta genellikle ek olarak iki boş PDF dosyası ve Docusign’dan “İncelemeniz ve imzalamanız gereken bir belge aldınız” ifadesini içeren bir mesaj içerir. Bazen SPF ve DKIM kontrolleri başarısız olsa da, bu e-postalar tehlikeye atılmış kaynak nedeniyle yine de güvenilir görünebilir.
Yönlendirmeler ve Karartma
Buna göre HERHANGİ BİR KOŞU Rapor, “Belgeyi İncele” bağlantısına tıklandığında, kurbanlar son kimlik avı alanını gizlemek için karmaşık bir URL zinciri aracılığıyla yönlendirilir. İlk bağlantı Symantec Tıklama Zamanı URL Koruma hizmeti tarafından yeniden yazılır ve bir dizi yönlendirmeye yol açar:
- tıklama zamanı.symantec.com – Yeniden yazılan E-posta bağlantısı
- uzakta.vk.com – Sosyal medya yönlendirme kötüye kullanımı
- brandequity.ekonomiktimes.indiatimes.com – Haber kaynağı yönlendirmesi kötüye kullanımı
- jyrepresentacao.com – Özel koşulsuz hedef alan maskeleme yönlendirmesi
- t4yzv.vereares.ru – Özel koşullu yönlendirme
- zorluklar.cloudflare.com – Turnike Cloudflare Mücadelesi
Alan adlarını ve ilişkili deneme oturumlarını arayarak görebilirsiniz “commandLine:”/etl.php?url=” VE etki alanıAdı:”.ekonomiktimes.indiatimes.com” Burada Tehdit İstihbarat Araması tarafından ücretsiz bir hesap oluşturmaT.
Kimlik avı motoru, komut dosyalarını ve diğer kaynakları depolamak ve sunmak için çeşitli içerik dağıtım ağlarını ve hizmetlerini kullanır:
- kod.jquery.com – jQuery betik depolaması
- cdn.socket.io – Soket betiği depolaması
- github.com – Randexp betik depolaması
- dnjs.cloudflare.com – Crypto-js betik depolaması
- httpbin.org – Harici IP arama hizmeti
- ipapi.co – IP bilgi hizmeti
- ok4static.oktacdn.com – Statik CDN Depolama
- aadcdn.msauthimages.net – Marka logosu depolama
Kimlik Avı Motoru ve Komuta ve Kontrol (C2)
Sofistike bir motor ve C2 sunucusu, kimlik avı operasyonunun özünü yönetir:
Motor kodu XOR ve obfuscator.io servisi kullanılarak bölünür ve karartılır. C2 sunucusuyla iletişim, saldırganlar için veri güvenliğini garanti altına alarak CBC modunda AES kullanılarak şifrelenir.
- v4l3n.delayawri.ru – Saldırganların C2 sunucusu
- keqil.ticemi.com – Tycoon 2FA phish-kit’in çekirdek motoru
Saldırganlar, çalınan kullanıcı verilerini C2 sunucusuna göndermek için özel bir iletişim protokolü kullanıyor. v4l3n.delayawri.ru
Protokol iki isteği içerir:
ANY RUN analizine göre, phishing motoru C2 sunucusuyla iki aşamada iletişim kuruyor:
Saldırganlar, kurbanın e-posta adresini girdikten sonra C2 sunucusuna şu formatta bir istek gönderir: /
Sunucu, durum mesajı, arayüz öğeleri, benzersiz bir kimlik (UID) ve bir belirteç içeren bir JSON nesnesiyle yanıt verir.
- Rica etmek:
/
/ - /
/ - /
- Yanıt (JSON):
"message":
, , "uid": , "token":
Saldırganlar, kurbanın şifresini girdikten sonra C2 sunucusuna şu formatta bir istek gönderir: /
Sunucu, durum mesajı, arayüz öğeleri, açıklama ve belirteç içeren bir JSON nesnesiyle yanıt verir.
- Rica etmek:
/
/ - Yanıt (JSON):
"message":
, , "description": , "token":
C2 sunucusuyla yapılan tüm iletişim CBC modunda AES kullanılarak şifrelenmektedir.
Create your free ANY.RUN account to analyze the latest threats with no limit
Tehlikeye Atılan Alan Adları
Indiatimes.com’un birkaç üçüncü seviye alan adı tehlikeye atıldı ve bir yönlendirme betiği barındırılıyor (/etl.php
):
- auto.ekonomiktimes.indiatimes.com
- b2bimg.ekonomiktimes.indiatimes.com
- cfo.ekonomiktimes.indiatimes.com
- cio.ekonomiktimes.indiatimes.com
- enerji.ekonomiktimes.indiatimes.com
- realty.ekonomiktimes.indiatimes.com
- static.ekonomiktimes.indiatimes.com
- telecom.ekonomiktimes.indiatimes.com
- ciso.ekonomiktimes.indiatimes.com
- brandequity.ekonomiktimes.indiatimes.com
Güvenlik uzmanları, kaynak e-posta tehlikeye girebileceğinden e-postaları doğrulamak için yalnızca SPF ve DKIM kontrollerine güvenmemeyi öneriyor. Kullanıcılara, beklenmedik ekler içeren e-postalara karşı dikkatli olmaları ve tıklamadan önce bağlantıların meşruiyetini doğrulamaları tavsiye ediliyor.
Bu karmaşık kimlik avı saldırı zinciri, şüpheli bağlantılar veya ekler içeren e-postalar alırken dikkatli olmanın önemini vurgular. Kullanıcılara, bilinmeyen kaynaklardan gelen bağlantılara tıkladıklarında dikkatli olmaları ve kimlik avı formlarına asla hassas bilgiler girmemeleri tavsiye edilir.
Çevrimiçi ortamda güvende kalmak için kullanıcılar, ANYRUN’un etiketli örneklerin genel veritabanını kullanarak şüpheli etki alanlarını veya IP adreslerini arayabilir. #phishing
, #amazon-ses
Ve #tycoon
.
Ayrıntılı bir analiz için ve kimlik avı saldırısının aktif olup olmadığını görmek için ANY.RUN Sandbox’ın tüm özelliklerini ücretsiz deneyin – 14 günlük deneme talebinde bulunun