Ağustos 2025’in sonlarında, kötü niyetli arama motoru reklamları aracılığıyla otelcileri ve tatil kiralama yöneticilerini özellikle hedefleyen yeni bir kimlik avı kampanyası ortaya çıktı.
Saldırganlar, kitle e -posta patlamalarına veya sosyal medya yemlerine güvenmek yerine, Google Search gibi platformlarda sponsorlu reklamlar satın aldı, meşru servis sağlayıcıların şüpheli olmayan kullanıcıları yeniden yönlendirmek için yazılar.
Siteminder ve RoomRaccoon gibi markaları taklit ederek, rakipler kötü niyetli alanlarının otantik listelerin üzerinde görünmesini sağlayarak mağdur katılım olasılığını önemli ölçüde artırdılar.
.webp)
Bir kurban sponsorlu bir bağlantıya tıkladığında, onlara oldukça ikna edici sahte giriş portalları sunuldu.
Bu sayfalar, kurumsal logolar, kullanıcı adları için form alanları, şifreler ve hatta çok faktörlü kimlik doğrulama istemleri ile birlikte yerleşik mülk yönetimi ve konuk mesajlaşma platformlarının tam görünümünü ve hissini tekrarladı.
Saldırganlar, kullanıcıları SMS veya e-posta yoluyla gönderilen tek seferlik şifreleri ifşa etmeye yönlendiren sosyal mühendislik tekniklerini uygulayacak kadar ileri gitti.
Sadece statik kimlik bilgilerini değil, dinamik OTP kodlarını hasat ederek, kampanya maksimum hesap devralma potansiyeli için tasarlandı.
OKTA Güvenlik analistleri, büyük bir Rus veri merkezi vekil sağlayıcısından çok sayıda misafirperverlik alanına kadar giden trafikte ani bir artış izledikten sonra bu kampanyayı belirledi.
Kimlik avı sayfası kaynak kodunun analizi, Rusça konuşan tehdit aktörleriyle olası bağları gösteren “ошибка запроса” (“istek hatası”) gibi Rusça yorumları ve hata mesajlarını ortaya çıkardı.
Ayrıca, kimlik avı siteleri, ziyaretçi etkileşimlerini gerçek zamanlı olarak izlemek, coğrafi konum verileri, oturum süresi ve bot algılama metrikleri toplamak için JavaScript işaretleme komut dosyaları kullandı.
İlk kimlik bilgisi hasat aşamasının ötesinde, saldırganlar sofistike kalıcılık taktikleri gösterdi. Dinleme işlevlerini entegre ederek, mağdurların doğru kimlik bilgilerine ve OTP’lere girip girmediklerini izleyebildiler. JavaScript işaretleme mekanizmalarının basitleştirilmiş bir versiyonu aşağıda görünür:
function sendRequest() {
fetch("/mksd95jld43").catch(error => console.error("Ошибка запроса"));
}
// Запускаем запрос каждые 10 секунд
setInterval(sendRequest, 10000);.webp)
Bu, her on saniyede bir talepte bulunarak, kurbanlar kimlik avı sayfalarıyla etkileşime girdiğinde sürekli veri açığa çıkmasını sağladı.
Enfeksiyon mekanizması
Enfeksiyon mekanizmasına daha derinlemesine giren kampanyanın kötü niyetli güvenliği onu geleneksel kimlik avı operasyonlarından ayırıyor.
Saldırganlar, tarayıcı güvenlik açıklarından doğrudan yararlanmak yerine, kullanıcının yolculuğunu en baştan zehirlemek için arama motoru reklamını silahlandırdı.
Yüksek değerli anahtar kelimelere teklif vererek-genellikle misafirperverlik platformlarının tam adları-kötü niyetli reklamlar gerçek sonuçların yanında veya üstünde göründü.
“Siteminder Giriş” veya “RoomRaccoon Channel Manager” arayan kurbanlar bunun yerine URL’lerle karşılaşır siteminder.live Ve rocmracooon.cfdher ikisi de meşru alanlardan görsel olarak ayırt edilemezdi.
.webp)
İniş yaptıktan sonra, kimlik avı sayfaları kurbanın varlığını doğrulamak ve form alanlarına verilen yanıtları yakalamak için JavaScript Beacon’u başlattı.
Kod, komut ve kontrol uç noktalarına periyodik giden bağlantıları zorlayarak, kimlik bilgilerinin ve OTP’lerin derhal aktarılmasını sağladı.
Buna ek olarak, saldırganlar, birden fazla MFA yöntemini (SMS, e -posta ve kimlik doğrulayıcı uygulamaları) kabul etmek için giriş formlarını tasarladı, bu da herhangi bir savunma faktörünü atlama şansını en üst düzeye çıkardı.
Bu enfeksiyon mekanizmasının saptanması, AD kampanyalarının ve alan kayıtlarının uyanık izlenmesini gerektirir.
Kuruluşlar, tanıdık olmayan ağlardan ani talepleri işaretlemek için uyarlanabilir risk değerlendirmeleri uygulamalı ve normal kullanıcı etkinliğinden sapmaları derhal araştırmalıdır.
Tehdit istihbaratını AD ekosistemlerinin gerçek zamanlı izlemesi ile birleştirerek, savunucular, kritik otel yönetimi altyapısını tehlikeye atmadan önce bu sofistike kötüverizasyon odaklı kimlik avı stratejisini bozabilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.