Microsoft 365 ve Gmail hesaplarında çok faktörlü kimlik doğrulamasını atladığı bilinen Hizmet Olarak Kimlik Yardımı (PHAAS) platformu Tycoon2FA, gizli ve kaçırma yeteneklerini artıran güncellemeler aldı.
Tycoon2fa, Ekim 2023’te, daha sonra kimlik avı kitinde karmaşıklığını ve etkinliğini artıran önemli güncellemeler bildiren Sekoia araştırmacıları tarafından keşfedildi.
Trustwave şimdi, Tycoon 2FA tehdit aktörlerinin kitin algılama ve son nokta güvenlik korumalarını atlama yeteneğini artıran çeşitli iyileştirmeler eklediğini bildiriyor.
Vurgulanan ilk değişiklik, Juniper Tehdit Laboratuarları tarafından Şubat ayında bildirildiği gibi, JavaScript içindeki ikili verileri gizlemek için görünmez Unicode karakterlerinin kullanılmasıdır. Bu taktik, kılavuzun (insan) ve statik desen eşleştirme analizinden kaçınırken, yükün çalışma zamanında normal şekilde kod çözülmesini ve yürütülmesini sağlar.
Kaynak: Trustwave
İkinci gelişme, Cloudflare Turnikatından Randomize Elementlerle HTML5 tuval aracılığıyla işlenen kendi kendine barındırılan bir CAPTCHA’ya geçiştir.
Muhtemelen, Tycoon 2FA’nın yaratıcıları, etki alanı itibar sistemleriyle parmak izi ve işaretleme ve sayfanın içeriği üzerinde daha iyi özelleştirme kontrolü elde etmek için bu değişikliği seçti.
Üçüncü büyük değişiklik, Phantomjs ve Burp Suite gibi tarayıcı otomasyon araçlarını algılayan ve analizle ilişkili belirli eylemleri engelleyen anti-tahrip JavaScript’in dahil edilmesidir.
Şüpheli etkinlik tespit edildiğinde veya captcha başarısız olduğunda (güvenlik botlarının potansiyel göstergesi) kullanıcıya bir tuzak sayfası sunulur veya rakuten.com gibi meşru bir web sitesine yönlendirilir.
Kaynak: Trustwave
Trustwave, bu kaçırma teknikleri bireysel olarak yeni olmasa da, birleştirildiğinde büyük bir fark yarattıklarını, kimlik avı altyapısını ortaya çıkarabilecek ve yayından kaldırmalara ve bozulmaya yol açabilecek karmaşık bir tespit ve analiz olduğunu vurgulamaktadır.
SVG cazibesi yükseliyor
Ayrı ama ilgili bir raporda, TrustWave, Tycoon2fa, Mamba2fa ve Sneaky2FA gibi PHAAS platformları tarafından yönlendirilen kötü amaçlı SVG (ölçeklenebilir vektör grafikleri) dosyalarını kullanarak kimlik avı saldırılarında dramatik bir artış belirlediğini söylüyor.
Siber güvenlik firması, Nisan 2024’ten Mart 2025’e kadar% 1.800’lük dik bir artış olduğunu ve bu da belirli dosya biçimini destekleyen taktiklerde açık bir değişim olduğunu bildirdi.
Kaynak: Trustwave
Kimlik avı saldırılarında kullanılan kötü niyetli SVG’ler, sesli mesajlar, logolar veya bulut belge simgeleri olarak gizlenen görüntüler içindir. Bununla birlikte, SVG dosyaları, görüntü tarayıcılarda oluşturulduğunda otomatik olarak tetiklenen JavaScript’i de içerebilir.
Bu kod, Base64 kodlama, ROT13, XOR şifrelemesi ve önemsiz kod kullanılarak gizlenir, bu nedenle algılama daha az olasıdır.
Kötü amaçlı kodun işlevi, mesaj alıcılarını hesap kimlik bilgilerini çalan Microsoft 365 kimlik avı sayfalarına yönlendirmektir.
TrustWave raporunda sunulan bir vaka çalışması, bir ses mesajı olarak gizlenmiş bir SVG dosya eki ile sahte bir Microsoft Teams sesli posta uyarısı ile ilgilidir. Bunu tıklamak, JavaScript’i yürüten ve sahte bir Office 365 giriş sayfasına yönlendiren harici bir tarayıcı açar.
Kaynak: Trustwave
PHAAS platformlarının ve SVG tabanlı kimlik avının yükselişi, artan uyanıklık ve gönderen özgünlük doğrulaması ihtiyacını çağırıyor.
Etkili bir savunma önlemi, SVG eklerini e-posta ağ geçitlerinde engellemek veya işaretlemek ve FIDO-2 cihazları gibi kimlik avlamaya dayanıklı MFA yöntemlerini kullanmaktır.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.