Kimlik avı her zaman insanları aldatmakla ilgiliydi. Ancak bu kampanyada, saldırganlar sadece kullanıcıları hedeflemek değildi; Ayrıca AI tabanlı savunmaları manipüle etmeye çalıştılar.
Bu, geçen hafta belgelendiğim gmail kimlik avı zincirinin bir evrimi. Bu kampanya aciliyetine ve yönlendirmeye dayanıyordu, ancak bu, otomatik analizi karıştırmak için tasarlanmış gizli AI istemlerini tanıttı.
Anurag’ın analizine görekimlik avı e -postası konuyla geldi: Giriş Son kullanma bildirimi 8/20/2025 16:56:21 PM vücut, alıcıya şifrelerinin süresinin dolacağı konusunda uyardı ve kimlik bilgilerini onaylamaya çağırdı.
Kullanıcı için bu, aciliyetten yararlanan ve resmi Gmail markalaşmasını hızlı, düşüncesiz bir tıklamaya neden olmak için taklit eden standart sosyal mühendisliktir.
AI’ya karşı hızlı enjeksiyon
Gerçek inovasyon kullanıcıdan gizlenir. E -postanın kaynak kodu içine gömüldü Metin kasıtlı olarak chatgpt veya Gemini gibi büyük dil modelleri için istemler tarzında yazılmıştır.
Bu “hızlı enjeksiyon”, güvenlik operasyonları merkezlerinin (SOCS) triyaj ve tehdit sınıflandırması için giderek daha fazla kullandığı AI destekli güvenlik araçlarını ele geçirmek için tasarlanmıştır.
Kötü niyetli bağlantıları tanımlamak ve e -postayı işaretlemek yerine, bir AI modeli, uzun akıl yürütme döngülerine girmesini veya alakasız perspektifler oluşturmasını sağlayan enjekte edilen talimatlarla dikkati dağılabilir. Anurag, bu çift yollu saldırının aynı anda insan psikolojisini ve makine zekasını hedeflediğini söyledi.
Başarılı olursa, otomatik sistemlerin tehdidi yanlış sınıflandırmasına, kritik uyarıları geciktirmesine veya Phish’in savunmalardan tamamen geçmesine izin verebilir.
Teslimat zinciri daha fazla karmaşıklık gösterir.
- E -posta Teslimi: E -posta Sendgrid’den kaynaklandı. SPF ve DKIM kontrollerini başarıyla geçti, ancak kullanıcının gelen kutusuna inmesine izin veren DMARC başarısız oldu.
- Evreleme yönlendirme: E-postadaki ilk bağlantı, güvenilir görünümlü bir ilk hop oluşturmak için Microsoft Dynamics’i kullandı.
hxxps://assets-eur.mkt.dynamics.com/d052a1c0-a37b-f011-8589-000d3ad8807d/digitalassets/standaloneforms/0cecd167-e07d-f011-b4cc-7ced8d4a4762
- Captcha ile saldırgan alanı: Yönlendirme, otomatik tarayıcıların ve kum havuzlarının son kimlik avı sitesine erişmesini engellemek için tasarlanmış bir captcha ile bir sayfaya yol açtı.
hxxps://bwdpp.horkyrown.com/M6TJL@V6oUn07/
- Ana Kimlik Yardım Sitesi: Captcha’dan sonra, kullanıcı gizlenmiş JavaScript içeren Gmail temalı bir giriş sayfasına yönlendirildi.
hxxps://bwdpp.horkyrown.com/yj3xbcqasiwzh2?id=[long_id_string]
- Geoip İsteği: Kimlik avı sitesi, kurbanın IP adresini, ASN ve coğrafi konum verilerini kullanıcıyı profillemek ve analiz ortamlarını filtrelemek için bir talepte bulundu.
hxxps://get.geojs.io/v1/ip/geo.json
- Beacon çağrısı: Gerçek kullanıcıları botlardan ayırmak için bir telemetri işaretçisi veya oturum izleyici kullanıldı.
GET hxxps://6fwwke.glatrcisfx.ru/tamatar@1068ey
Sendgrid bypass başlangıç filtreleri aracılığıyla gönderilen e -postalar ve meşru bir Microsoft Dynamics URL’si aracılığıyla yönlendirme, ilk atlamayı güvenilir görünmesini sağlar.
Bir captcha, otomatik tarayıcıları engellemek için saldırganın alanını korur ve son kimlik avı sayfası kimlik bilgilerini çalmak için çok katmanlı, gizlenmiş JavaScript kullanır.
Kesin ilişkilendirme zor olsa da, whois saldırganın alan adını kaydeder (bwdpp.horkyrown.com) Pakistan’daki iletişim bilgilerini ve telemetri işaretleri için URL yollarını listeleyin (6fwwke.glatrcisfx.ru/tamatar@1068ey) Hintçe/Urduca kelimeler içerir.
Bu ipuçları, kesin olmasa da, Güney Asya’daki tehdit aktörlerine olası bir bağlantı öneriyor.
Bu kampanya, kimlik avı taktiklerinde açık bir evrimi vurgulamaktadır. Saldırganlar şimdi kendilerine karşı savunmak için araçları zehirlemeye çalışan AI-AI-A-Farklı Tehditler oluşturuyorlar.
Bu, savunma stratejisinde bir değişimi zorlar ve kuruluşların sadece kullanıcılarını sosyal mühendislikten değil, aynı zamanda AI araçlarını hızlı manipülasyondan korumalarını gerektirir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.