Geçen yıl Sniper Dz adlı hizmet olarak kimlik avı (PhaaS) platformuna bağlı 140.000’den fazla kimlik avı web sitesi bulundu; bu da bu platformun çok sayıda siber suçlu tarafından kimlik bilgisi hırsızlığı yapmak için kullanıldığına işaret ediyor.
Palo Alto Networks Birim 42 araştırmacıları Shehroze Farooqi, Howard Tong ve Alex Starov teknik bir raporda, “Potansiyel kimlik avı yapanlar için Sniper Dz, kimlik avı sayfaları kataloğu içeren çevrimiçi bir yönetici paneli sunuyor.” dedi.
“Kimlik avı yapanlar, bu kimlik avı sayfalarını Sniper Dz’ye ait altyapıda barındırabilir veya Sniper Dz kimlik avı şablonlarını kendi sunucularında barındırmak üzere indirebilir.”
Belki de bu hizmetleri daha da kazançlı kılan şey, bu hizmetlerin ücretsiz sağlanmasıdır. Bununla birlikte, kimlik avı siteleri kullanılarak toplanan kimlik bilgileri, Microsoft’un çifte hırsızlık olarak adlandırdığı bir teknik olan PhaaS platformunun operatörlerine de sızdırılıyor.
PhaaS platformları, tehdit aktörlerinin siber suç dünyasına girmeleri için giderek daha yaygın bir yol haline geldi ve teknik uzmanlığı az olanların bile geniş ölçekte kimlik avı saldırıları düzenlemesine olanak tanıdı.
Bu tür kimlik avı kitleri, barındırma hizmetlerinden kimlik avı mesajları göndermeye kadar saldırı zincirinin her aşamasına hizmet veren özel kanallar ve gruplarla Telegram’dan satın alınabilir.
Sniper Dz, tehdit aktörlerinin 1 Ekim 2024 itibarıyla 7.170’den fazla aboneye sahip bir Telegram kanalını işletmesi açısından bir istisna değil. Kanal 25 Mayıs 2020’de oluşturuldu.
İlginç bir şekilde, Ünite 42 raporunun yayınlanmasından bir gün sonra, kanalın arkasındaki kişiler, bir ay sonra tüm gönderilerin otomatik olarak silinmesi için otomatik silme seçeneğini etkinleştirdi. Bu muhtemelen, daha önceki mesajların sohbet geçmişinde bozulmadan kalmasına rağmen, etkinliklerinin izlerini örtbas etme girişimini akla getiriyor.
PhaaS platformuna clearnet üzerinden erişilebiliyor ve web sitesinin ana sayfasına göre “dolandırıcılıklarınızı ve hack araçlarınızı almak” için bir hesap açmanız gerekiyor.
Ocak 2021’de Vimeo’ya yüklenen bir video, hizmetin X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat ve PayPal gibi çeşitli çevrimiçi siteler için İngilizce, Arapça ve Fransızca olarak kullanıma hazır dolandırıcılık şablonları sunduğunu gösteriyor diller. Video bugüne kadar 67.000’den fazla izlendi.
Hacker News ayrıca, YouTube’a yüklenen ve izleyicileri Sniper Dz’den şablon indirmek ve Google Blogger gibi meşru platformlarda PUBG ve Free Fire için sahte açılış sayfaları oluşturmak için gereken farklı adımlara yönlendiren eğitim videoları da belirledi.
Ancak Sniper Dz’nin geliştiricileriyle herhangi bir bağlantılarının olup olmadığı ya da yalnızca hizmetin müşterileri olup olmadıkları belli değil.
Sniper Dz, kimlik avı sayfalarını kendi altyapısında barındırma ve bu sayfalara işaret eden özel bağlantılar sağlama yeteneğiyle birlikte gelir. Bu siteler daha sonra meşru bir proxy sunucusunun (proxymesh) arkasına gizlenir.[.]com) algılamayı önlemek için.
Araştırmacılar, “Sniper Dz’in arkasındaki grup, bu proxy sunucusunu, kimlik avı içeriğini doğrudan iletişim olmadan kendi sunucusundan otomatik olarak yükleyecek şekilde yapılandırıyor” dedi.
“Bu teknik, Sniper Dz’nin arka uç sunucularını korumasına yardımcı olabilir, çünkü kurbanın tarayıcısı veya güvenlik tarayıcısı, kimlik avı yükünün yüklenmesinden proxy sunucusunu sorumlu olarak görecektir.”
Siber suçlular için diğer seçenek, kimlik avı sayfası şablonlarını çevrimdışı olarak HTML dosyaları olarak indirmek ve bunları kendi sunucularında barındırmaktır. Ayrıca Sniper Dz, kimlik avı şablonlarını daha sonra Blogspot etki alanlarında barındırılabilecek Blogger biçimine dönüştürmek için ek araçlar sunar.
Çalınan kimlik bilgileri sonuçta clearnet sitesine giriş yapılarak erişilebilen bir yönetici panelinde görüntülenir. Birim 42, Temmuz 2024’ten itibaren Sniper Dz kullanarak öncelikle ABD’deki web kullanıcılarını hedef alan kimlik avı aktivitesinde bir artış gözlemlediğini söyledi.
Araştırmacılar, “Sniper Dz kimlik avı sayfaları, kurbanların kimlik bilgilerini sızdırıyor ve bunları merkezi bir altyapı aracılığıyla takip ediyor” dedi. “Bu, Sniper Dz’nin PhaaS platformunu kullanan kimlik avcıları tarafından çalınan kurban kimlik bilgilerini toplamasına yardımcı olabilir.”
Bu gelişme, Cisco Talos’un saldırganların, spam filtrelerini atlamak ve kimlik avı e-postalarını dağıtmak için hesap oluşturma formu sayfaları ve kullanıcıya bir e-postayı geri gönderen diğerleri gibi arka uç SMTP altyapısına bağlı web sayfalarını kötüye kullandığını ortaya çıkarmasıyla ortaya çıktı.
Bu saldırılar, kötü amaçlı bağlantılar ve metinler eklemek için bu web formlarında yaygın olan zayıf giriş doğrulama ve temizlemeden yararlanır. Diğer kampanyalar, e-posta hesaplarına erişim sağlamak ve spam göndermek amacıyla meşru kuruluşların posta sunucularına kimlik bilgisi doldurma saldırıları gerçekleştiriyor.
Talos araştırmacısı Jaeson Schultz, “Birçok web sitesi kullanıcıların bir hesaba kaydolmasına ve belirli özelliklere veya içeriğe erişmek için oturum açmasına olanak tanıyor.” dedi. “Genellikle, başarılı kullanıcı kaydının ardından, hesabı onaylamak için kullanıcıya bir e-posta gönderilir.”
“Bu durumda, spam gönderenler ad alanını metin ve bir bağlantıyla aşırı yüklediler ve bu maalesef hiçbir şekilde doğrulanmadı veya temizlenmedi. Sonuçta kurbana gönderilen e-posta, spam gönderenin bağlantısını içeriyor.”
Bu aynı zamanda, bilinen bir güvenlik kusurunu (CVE-2017-0199) kullanarak Remcos RAT’ın dosyasız bir versiyonunu yaymak için görünüşte zararsız bir Microsoft Excel belgesinden yararlanan yeni bir e-posta kimlik avı kampanyasının keşfinin ardından geldi.
“Kapıyı açınca [Excel] Trellix araştırmacısı Trishaan Kalra şöyle konuştu: “Bu HTA uygulaması daha sonra, dosyasız bir Remcos RAT’ın meşru bir Windows’a eklenmesiyle sonuçlanan bir PowerShell komutları zincirini başlatır.” işlem.”