Siber suçlular, güvenlik sistemlerini atlamak için giderek daha karmaşık yöntemler kullanıyor ve en son tehdit, Hizmet Olarak Gelişmiş Tycoon Kimlik Avı kitinden ortaya çıkıyor.
Bu kötü niyetli platform, tehlikeli bağlantıları gizlemek için tasarlanmış yeni teknikler tanıttı, bu da onları şüphesiz kurbanlara karşı etkinliklerini korurken geleneksel algılama sistemlerine neredeyse görünmez hale getirdi.
Tycoon kimlik avı kiti, e-posta tabanlı saldırılarda önemli bir evrimi temsil eder, dikkatle hazırlanmış sesli mesaj mesajlarını ve hedefleri cezbetmek için sahte muhasebe hizmeti bildirimlerinden yararlanır.
.webp)
Açık kötü amaçlı göstergelere dayanan geleneksel kimlik avı kampanyalarının aksine, kralı, bağlantıların hem güvenlik araçlarına hem de insan alıcılarına nasıl göründüğünü temelden değiştiren gelişmiş URL kodlama ve yapısal manipülasyon teknikleri kullanır.
Barracuda analistleri, kimlik bilgisi çalma kampanyalarına ilişkin son araştırmalar sırasında bu sofistike kaçakçılık taktiklerinin ortaya çıktığını tespit ettiler.
Araştırmacılar, saldırganların mevcut güvenlik paradigmalarına meydan okuyan hibrit tehditler oluşturmak için artık birden fazla gizleme yöntemini birleştirdiğini keşfettiler.
Tycoon’un yaklaşımının en ilgili yönü, web adresleri boyunca ‘%20’ kodunu kullanarak görünmez alanlar ekleyen URL kodlama tekniklerinin kullanımını içerir.
Bu yöntem, kötü niyetli bileşenleri, onları tıklayan kurbanlar için işlevsel bağlantıları korurken otomatik güvenlik sistemlerinin tarama aralığının ötesine iter.
Teknik ayrıca standart noktalamaya görsel olarak benzeyen, ancak tamamen farklı temel kod yapılarına sahip Unicode sembolleri içerir.
Gelişmiş bağlantı manipülasyon teknikleri
Tycoon’un Arsenal içindeki temel inovasyon, kasıtlı yapısal tutarsızlıklar içeren kısmen köprülü URL’ler oluşturan yedek protokol önek tekniğinde yatmaktadır.
Saldırganlar, yinelenen protokol bildirimleri veya iki ‘HTTPS’ önekini dahil etme veya standart ‘//’ ayırıcısını atlama gibi eksik temel bileşenleri içeren zanaat adresleri.
Bu manipülasyon, güvenlik tarayıcılarının ayrıştırma hatalarıyla karşılaşmasını sağlarken, tarayıcılar hala fonksiyonel kısımları doğru bir şekilde yorumlar.
Bu örnek uygulamayı düşünün:-
hxxps:office365Scaffidips[.]azgcvhzauig[.]es\If04Bu yapıda, ‘@’ sembolünden önceki her şey, ‘Office365’ gibi güvenilir marka referanslarını içeren alıcılar için meşru görünüyor.
Bununla birlikte, gerçek hedef, kurbanları saldırgan kontrollü altyapıya yönlendiren ‘@’ sembolünü takip eder. Teknik, pre-‘@’ içeriğini birincil hedef yerine kullanıcı kimlik doğrulama bilgileri olarak ele alan tarayıcı yorumlama protokollerinden yararlanır.
.webp)
Alt alan kötüye kullanımı bileşeni, görünüşte meşru Microsoft’a bağlı adresler oluşturarak aldatmayı daha da artırır.
‘Office365ScaffiFIPS’ resmi Microsoft altyapısını önerirken, gerçek hedef ‘AZGCVHZAUIG.ES’, kimlik bilgisi hasat için tasarlanmış tamamen ayrı, kötü amaçlı bir alanı temsil eder.
Bu gelişen teknikler, modern kimlik avı operasyonlarının güvenlik iyileştirmelerine nasıl uyum sağladığını göstermektedir, bu da kuruluşların bu sofistike tehditleri etkili bir şekilde tanımlamak için yapay zeka ve makine öğrenme yeteneklerini içeren çok katmanlı savunma stratejileri uygulamalarını gerektirir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.