Anti-akış, DMARC, siber suç, sahtekarlık yönetimi ve siber suç
Astaroth kiti telgrafta 2.000 dolara sunuldu, gerçek zamanlı olarak kimlik doğrulamasını keser
Prajeet Nair (@prajeaetspeaks) •
13 Şubat 2025
Yeni bir kimlik avı kiti, oturum kaçırma ve Gmail, Yahoo, AOL ve Microsoft 365 gibi hizmetlerden gerçek zamanlı kimlik bilgisi müdahalesi yoluyla iki faktörlü kimlik doğrulamayı atlar.
Ayrıca bakınız: Ondemand | 2024 Kimlik Yardım Insights: 11,9 milyon kullanıcı davranışı riskiniz hakkında ne ortaya koyuyor
SlashNext’in bir raporuna göre, ilk olarak Ocak ayında siber suç forumlarında ilan edilen Astaroth, kurbanlar ve meşru kimlik doğrulama arasındaki trafiği kesmek ve manipüle etmek için EvilGinx tarzı bir ters vekil kullanıyor.
Ortada bir adam olarak hareket eden, giriş kimlik bilgilerini, jetonları ve oturum çerezlerini gerçek zamanlı olarak yakalar ve iki faktörlü korumaları işe yaramaz hale getirir.
Birincil kimlik bilgilerini çalmak için statik sahte oturum açma sayfalarına dayanan geleneksel kimlik avı kitlerinden farklı olarak, Astaroth girildiği anda kimlik doğrulama verilerini keser ve siber suçluların mağdurlardan ek kimlik doğrulamaya ihtiyaç duymadan, uzlaşmış hesaplara tam erişim kazanmasını sağlar.
Mağdurlar bir kimlik avı bağlantısını tıkladıktan sonra, meşru giriş sayfasını yansıtan ters vekil olarak çalışan kötü amaçlı bir sunucuya yönlendirilirler. Geçerli SSL sertifikaları mevcutken, kullanıcılar hiçbir güvenlik uyarısı görmez, bu da saldırıyı tespit etmeyi neredeyse imkansız hale getirir.
Mağdurlar kullanıcı adlarına ve şifrelerine girdiğinde, Astaroth gerçek kimlik doğrulama hizmetine talepleri iletmeden önce onları gerçek zamanlı olarak yakalar.
2FA’yı tamamen atlamak için, kimlik avı kiti, SMS, kimlik doğrulama uygulamaları veya push bildirimleri yoluyla oluşturulan bir kerelik pasodları otomatik olarak keser. Siber suçlular, bir web paneli arayüzü ve telgraf bildirimleri aracılığıyla derhal uyarılır ve mağdurların herhangi bir şeyden şüphelenmeleri için hesapların kontrolünü ele geçirmelerine izin verir.
Astaroth, saldırganların kimlik doğrulamasını tamamen atlamasına yardımcı olan oturum çerezlerini yakalayarak etkinliğini daha da artırır. Hackerlar, çalıntı çerezleri tarayıcılarına enjekte ederek kurbanları kullanıcı adlarına, şifrelere veya 2FA jetonlarına ihtiyaç duymadan taklit edebilirler.
Kimlik avı kiti, altı aylık sürekli güncellemelerle 2.000 $ karşılığında siber suç pazarlarında mevcuttur. Satıcılar Astaroth’u telgraf ve yeraltı forumlarında tanıtıyor ve potansiyel alıcılara canlı gösteriler sunuyor.
Daha fazla müşteri çekmek için geliştiriciler, Recaptcha ve Botguard gibi güvenlik özelliklerini atlamak için teknikleri hakkındaki ayrıntıları açıkça paylaşıyor.
Astaroth ayrıca kurşun geçirmez barındırma gibi özel barındırma seçeneklerini de içerir ve kolluk kuvvetlerinin yayından kaldırma girişimlerine dayanıklıdır. Zayıf düzenleyici gözetim altında olan yargı bölgelerinde barındırılan Kit, siber suçluların bozulmadan çalışabilmesini sağlar.
SlashNext’teki Field CTO olan J Stephen Kowski, Information Güvenlik Medya Grubuna, önemli bir paket servisi, güçlü giriş işlemlerinin bile 2FA kodlarını ve oturum verilerini alabilen tehdit aktörleri tarafından yenilebileceğidir.
Kowski, “Güvenlik ekipleri, kullanıcılara sahte sayfaları tespit etmeyi öğretirken web, e-posta ve mobil kanallarda hızlı, gerçek zamanlı tehdit algılaması kullanmalıdır.” Dedi.
Astaroth’u keşfeden SlashNext araştırmacıları, kuruluşların kullanıcılara ulaşmadan önce kimlik avı denemelerini tespit etmek ve engellemek için AI destekli güvenlik araçlarını kullanmasını önermektedir.