ABD Posta Servisi’ni (USPS) taklit eden saldırganlar, bu kez insanların PDF dosyalarına olan güvenine dokunan geniş bir mobil kimlik avı kampanyasında tekrar dikkat çekiyor. Bu kez kimlik bilgilerini çalmak ve SMS kimlik avı (sminging) saldırılarında duyarlı verileri tehlikeye atmak için yeni bir kaçış taktiği kullanıyor.
Zimperium Zlabs’ta araştırmacılar tarafından keşfedildi, Smishing Kampanyası İnsanlara “eksik adres bilgileri” nedeniyle paketlerinin teslim edilemeyeceğini bildiren kötü niyetli SMS mesajları kullanır. Bir blog yazısı 27 Ocak’ta yayınlandı. Mesajlar, kişileri kötü amaçlı bir kimlik avı bağlantısı içeren bir PDF dosyasını tıklamaya yönlendirerek, bunları isim, adres, e -posta ve telefon numarası da dahil olmak üzere kişisel bilgileri vermelerini isteyen bir açılış sayfasına götürüyor. Başka bir yönlendirme, paketin başarılı bir şekilde teslim edilmesi için hizmet ücretleri gerektirdiğini iddia eden insanların ödeme kartı verilerini toplar.
Zimperium araştırmacısı Fernando Ortega, “Bu taktik, PDF’lerin güvenli ve güvenilir dosya formatları olarak algılayarak alıcıları açma olasılığını artırıyor.”
ZLABS araştırmacıları, 630’dan fazla kimlik avı sayfasını, 20 kötü amaçlı PDF dosyasını ve iniş sayfalarının kötü niyetli bir altyapısını ortaya çıkardı. KampanyaYetkili, kuruluşları 50’den fazla ülkede etkileyebilecek önemli bir ölçek göstererek.
Dahası, saldırganlar kampanyanın “tıklanabilir öğeleri gizlemek için karmaşık ve daha önce görünmeyen bir teknik kullanıyor” ve çoğu uç nokta güvenlik çözümünün gizli bağlantıları düzgün bir şekilde analiz etmesini ve böylece tehdidi tespit etmesini zorlaştırıyor.
“Bu strateji, kullanıcıları aldatmak ve verilerini tehlikeye atmak için hem güvenilir dosya formatlarından hem de ileri kaçakçılığa yönelik siber suçluların gelişen taktiklerini vurgulamaktadır.”
Kaçmak için PDF’lerin manipüle edilmesi
Saldırganlar, Araştırmacılar, kötü amaçlı kampanyayı otomatik güvenlik sistemlerinin şüpheli olarak tespit etmesini zorlaştıran yeni bir kaçaklama taktiği oluşturmak için PDF dosyalarının arka uç kompozisyonu hakkındaki bilgilerini kullanıyor.
PDF dosyalarında, bağlantılar tipik olarak bir eylem sözlüğü nesnesinin bir parçası olan, özellikle bir Uur-Uri eyleminde, yazıda açıklanan Ortega kullanılarak temsil edilir. Bu, bir PDF görüntüleyicisine genellikle bir web adresi (URL) olan tek tip bir kaynak tanımlayıcısına (URI) gitmesini söyler.
Ortega, bu kampanyada kullanılan PDF’ler, standart /URI etiketini kullanmadan “analiz sırasında URL’lerin çıkarılmasını daha zor hale getirmeden” tıklanabilir bağlantılar yerleştirdi.
“Araştırmacılarımız, bu yöntemin PDF dosyalarındaki bilinen kötü amaçlı URL’lerin birkaç uç nokta güvenlik çözümünün tespitini atlamasını sağladığını doğruladılar.” Buna karşılık, bu çözümler standart /URI etiketi kullanıldığında aynı URL’leri algılar.
Ortega, “Bu, kötü niyetli URL’lerin gizlenmesinde bu tekniğin etkinliğini vurguluyor.”
Paket temalı kimlik avı yeni değil, ancak gelişen
Taklit eden kampanyalar USPS Ve diğer güvenilir markalar pek yeni değildir, çünkü saldırganlar genellikle kimlik avı saldırıları için ikna edici bir cazibe olarak bir paket veya posta parçası bekleyen bir kişiyle birlikte gelen aciliyetten yararlanır. Bir USPS ile bağlantılı kampanya Ekim 2023’te İranlı saldırganlarla bağlantılıydı ve örnek olarak saldırılar için altyapı olarak 200’e yakın farklı alan kullandı.
Bununla birlikte, en son USPS kimliğinde bürünme çabasında kullanılan ölçek ve sofistike kaçış taktiği, onu dikkate değer bir tehdit haline getiriyor ve kurumsal kullanıcıları tehdit eden “dünya çapında sınırlı mobil cihaz güvenliğinden” yararlanmak için rahatsız edici bir eğilim haline geliyor.
“Kuruluşlar güçlü e -posta güvenliğine sahip olsa da, mobil cihazlar çevresindeki finans, İK ve teknoloji ekipleri arasındaki kritik gerilim, korunmada önemli ve tehlikeli bir boşluk yarattı ve bunların birincil saldırı vektörleri haline gelmesine rağmen web ve mobil mesajlaşma güvenliğinde yetersiz yatırım yapmaya yol açtı.” STLASHNEXT E -posta Güvenliği+’da Stephen Kowski, Saha Baş Teknoloji Sorumlusu (CTO).
Gerçekten de, kuruluşların işyerinde teminatsız mobil cihazlar konusunu ele almaları gerektiğini söylüyor. Bunu yapmak için, CEO ve kurucu ortağı Darren Guccione, Keeper Security’de, bir kurumsal kullanıcı saldırıya düşse bile kimlik bilgisi uzlaşmasını önlemek için çalışan eğitimini çok faktörlü kimlik doğrulama (MFA) ile birleştiren katmanlı bir güvenlik yaklaşımı benimsemelidirler. .
Kurumsal güvenliğe gelince, ayrıcalıklı erişim yönetimi (PAM) çözümleri kullanan sıfır tröst güvenlik çerçevelerinin kullanılması, “hassas sistemlere erişimi kısıtlayarak, yalnızca yetkili kullanıcıların kritik verilerle etkileşime girmesini sağlayarak” riskleri daha da azaltabileceğini açıklıyor.