Siber güvenlik araştırmacıları, en az Eylül 2024’ten bu yana Avustralya, Japonya, İspanya, İngiltere ve ABD’yi hedef alan kampanyalarda kullanılmakta olan yeni bir kimlik avı kitini ortaya çıkardı.
Netcraft, kamu sektörleri, posta, dijital hizmetler ve bankacılık hizmetleri gibi çeşitli sektörleri hedef alan saldırılarda kullanılan teklifle birlikte Xiū gǒu olarak bilinen kitin 2.000’den fazla kimlik avı web sitesinin tespit edildiğini söyledi.
Netcraft Perşembe günü yayınlanan bir raporda, “Kimlik avı web sitelerini dağıtmak için kiti kullanan tehdit aktörleri, tespit edilmeyi önlemek için genellikle Cloudflare’in anti-bot ve barındırma gizleme yeteneklerine güveniyor.” dedi.
Kimlik avı kitinin bazı yönleri, güvenlik araştırmacıları Will Thomas (@ BushidoToken) ve Fox_threatintel (@banthisguy9349) tarafından geçen ay belgelendi.
Xiū gǒu gibi kimlik avı kitleri, daha az vasıflı bilgisayar korsanlarının giriş engelini azaltabileceğinden ve hassas bilgilerin çalınmasına yol açabilecek kötü niyetli kampanyaların artmasına yol açabileceğinden risk oluşturur.
Çince konuşan bir tehdit aktörü tarafından geliştirilen Xiū gǒu, kullanıcılara yönetici paneli sağlıyor ve Golang ve Vue.js gibi teknolojiler kullanılarak geliştiriliyor. Kit aynı zamanda Telegram aracılığıyla “.top” üst düzey etki alanında barındırılan sahte kimlik avı sayfalarından kimlik bilgilerini ve diğer bilgileri sızdırmak için de tasarlandı.
Kimlik avı saldırıları, SMS yerine Zengin İletişim Hizmetleri (RCS) mesajları yoluyla yayılıyor ve alıcıları sözde park cezaları ve başarısız paket teslimatları konusunda uyarıyor. Mesajlar ayrıca cezayı ödemek veya teslimat adresini güncellemek için URL kısaltıcı hizmeti kullanılarak kısaltılmış bir bağlantıya tıklamaları talimatını da veriyor.
Netcraft, “Dolandırıcılık, kurbanları kişisel bilgilerini vermeye ve örneğin bir paketi teslim etmek veya bir cezayı yerine getirmek gibi ödemeler yapmaya yönlendiriyor.” dedi.
Esas olarak Apple Mesajlar (iOS 18’den itibaren) ve Android için Google Mesajlar aracılığıyla kullanılabilen RCS, kullanıcılara dosya paylaşımı, yazma göstergeleri ve isteğe bağlı uçtan uca şifreleme (E2EE) desteğiyle yükseltilmiş bir mesajlaşma deneyimi sunuyor. .
Geçtiğimiz ayın sonlarında yayınlanan bir blog yazısında teknoloji devi, paket teslimatı ve iş fırsatlarıyla ilgili sahte mesajları özel olarak filtrelemek için cihaz içi makine öğrenimi modellerini kullanarak gelişmiş dolandırıcılık tespitinin kullanıma sunulması da dahil olmak üzere kimlik avı dolandırıcılıklarıyla mücadele etmek için aldığı yeni korumaları ayrıntılı olarak açıkladı.
Google ayrıca Hindistan, Tayland, Malezya ve Singapur’daki kullanıcılar bilinmeyen göndericilerden potansiyel olarak tehlikeli bağlantılara sahip kısa mesajlar aldıklarında güvenlik uyarılarını denediğini söyledi. Bu yılın sonuna doğru küresel olarak genişletilmesi beklenen yeni korumalar, şüpheli gönderenlerden gelen bağlantıları içeren mesajları da engelliyor.
Son olarak, arama uzmanı, “Mevcut kişiler olmayan uluslararası gönderenlerden gelen mesajları “Spam ve engellenen” klasörüne taşıyarak otomatik olarak gizleme seçeneğini ekliyor. Bu özellik ilk olarak Singapur’da pilot olarak etkinleştirildi.
Açıklama, Cisco Talos’un, Tayvan’daki Facebook işletme ve reklam hesabı kullanıcılarının, Lumma veya Rhadamanthys gibi hırsız kötü amaçlı yazılımları dağıtmak için tasarlanmış bir kimlik avı kampanyasının parçası olarak bilinmeyen bir tehdit aktörü tarafından hedef alındığını açıklamasının ardından geldi.
Yem mesajları, tıklandığında kurbanı bir Dropbox veya Google Appspot etki alanına götüren, sahte bir PDF çalıştırılabilir dosyası içeren bir RAR arşivinin indirilmesini tetikleyen ve hırsız kötü amaçlı yazılımın bırakılması için bir kanal görevi gören bir bağlantıyla birlikte geliyor.
Talos araştırmacısı Joey Chen, etkinliğin Temmuz 2024’ten bu yana devam ettiğini belirterek, “Tahıl e-posta ve sahte PDF dosya adları, bir şirketin hukuk departmanını taklit ederek kurbanı kötü amaçlı yazılım indirmeye ve çalıştırmaya ikna etmeye çalışıyor.” dedi.
“E-postalar, hak ihlalinde bulunan içeriğin 24 saat içinde kaldırılmasını, yazılı izin olmadan daha fazla kullanılmasının durdurulmasını talep ediyor ve uyumsuzluk nedeniyle olası yasal işlem ve tazminat talepleri konusunda uyarıda bulunuyor.”
OpenAI’nin kimliğine bürünerek dünya çapındaki işletmeleri hedef alan ve onlara gizlenmiş bir köprüye tıklayarak ödeme bilgilerini hemen güncelleme talimatı veren kimlik avı kampanyaları da gözlemlendi.
Barracuda bir raporda “Bu saldırı tek bir alandan 1000’den fazla alıcıya gönderildi” dedi. “Ancak e-posta, muhtemelen tespit edilmekten kaçınmak için e-posta gövdesi içinde farklı köprüler kullandı. E-posta, DKIM ve SPF kontrollerini geçti; bu, e-postanın, alan adına e-posta göndermeye yetkili bir sunucudan gönderildiği anlamına geliyor. Ancak, alanın kendisi şüpheli.”