Siber suçlular, Çekya, Macaristan ve Gürcistan’daki mobil kullanıcıları hedef alan son kimlik avı dolandırıcılığında Progressive Web Uygulamalarını (PWA’lar) kullanıyor. Kendinizi bu gizli tehditlerden nasıl koruyacağınızı ve hassas verilerinizi nasıl güvence altına alacağınızı öğrenin.
Siber güvenlik firması ESET yeni bir siber saldırı dalgası keşfetti kimlik avı kampanyaları Kasım 2023’ten beri aktif olan İlerici Web Uygulamalarını (PWA’lar) istismar eden tehdit aktörlerinin, şüphesiz kurbanları aldatmak için PWA’lardan yararlanan yeni bir kimlik avı tekniği geliştirdiği bildiriliyor.
Bilginize, PWA’lar mobil cihazlarda yerel uygulamaya yakın bir deneyim sunmak için tasarlanmış web uygulamalarıdır. Kullanıcılar bunları ana ekranlarına yükleyebilir ve normal uygulamalar gibi başlatabilir. ESET, tehdit aktörlerinin hem PWA’ları hem de iOS ve Android tek bir kimlik avı uygulamasıyla kullanıcıları hedef alıyor.
Kampanya genellikle SMS, sosyal medya kötü amaçlı reklamları veya otomatik sesli aramalar yoluyla iletilen bir kimlik avı bağlantısıyla başlar ve kullanıcıları güvenlik güncellemeleri veya özel teklifler için tıklamaya teşvik eder. Bağlantıya tıklamak, resmi uygulama mağazasını veya hedeflenen bankanın web sitesini taklit etmek üzere tasarlanmış bir web sitesine yönlendirir ve kullanıcılardan uygulamanın yeni bir sürümünü “yüklemeleri” istenir.
Kötü amaçlı PWA yüklendikten sonra meşru bir bankacılık uygulaması gibi davranarak kullanıcıları oturum açma kimlik bilgilerini girmeye teşvik eder. Bu hassas bilgiler daha sonra saldırganın sunucularına sızdırılır ve kullanıcıların finansal hesapları riske atılır.
Geleneksel uygulama indirmelerinin aksine, bir PWA yüklemek herhangi bir güvenlik uyarısını tetiklemez çünkü PWA’lar esasen uygulama kılığına girmiş web siteleridir. Bu sessiz yükleme, daha güvenli bir uygulama yükleme sürecine alışkın olan iOS kullanıcıları için özellikle endişe vericidir.
Bu plan Android cihazlarda daha da aldatıcı olabilir. Saldırganlar, Chrome’un bir PWA’dan yerel görünümlü bir uygulama oluşturmasına olanak tanıyan bir teknoloji olan WebAPK’ları kullanabilir. Bu, yüklü uygulama yanılsamasını daha da güçlendirir. WebAPK simgesinde belirgin tarayıcı logosu bulunmuyor.
ESET araştırmacıları Çekya, Macaristan ve Gürcistan’daki kullanıcıları hedef alan birden fazla kimlik avı kampanyası gözlemledi. Bu kampanyalar hassas bilgileri çalmak için hem PWA hem de WebAPK tabanlı saldırılar kullandı.
Önemli sayıda kimlik avı girişimi Çek bankalarının müşterilerine yönelikti ve saldırganlar kötü amaçlı bağlantıları dağıtmak için sosyal medya reklamlarını kullandı. Macaristan’da saldırganlar OTP Bank müşterilerini hedef aldı ve Gürcistan’da bir bankayı hedef alan PWA tabanlı bir kimlik avı saldırısı gözlemlendi. ESET araştırması etkilenen bankaları derhal bilgilendirdi ve birden fazla kimlik avı alan adının ve C&C sunucusunun kaldırılmasına yardımcı oldu.
Müşteriler için tehlikeli dolandırıcılık @Ceskasporitelna.
Otomat’ı çağırıyor, George’u güncel olmayan uygulama hakkında uyarıyor ve bir düğmeye basıldığında harekete geçiyor ve güncellenmiş sürüme bağlantı içeren bir URL gönderiyor.Kurulumu görsel olarak simüle eder ve ardından sahte web uygulamasına bir bağlantının masaüstüne kaydedilmesini önerir… resim.twitter.com/KM6jsndsoI
— Michal Blaha (@michalblaha) 9 Ocak 2024
Daha ileri analizler, her biri farklı bir C&C sunucu altyapısı kullanan iki farklı kimlik avı kampanyasını ortaya çıkardı. Bu, bu yeni kimlik avı yöntemini kullanan birden fazla tehdit aktörünün varlığını gösterir.
ESET araştırmacıları, “İki büyük ölçüde farklı C&C altyapısı kullanıldığı için, kimlik avı uygulamalarının yayılmasından iki farklı grubun sorumlu olduğunu belirledik” dedi. rapor.
Kendinizi siber suçlulardan korumak için beklenmedik bağlantılardan kaçının, uygulamaları resmi mağazalardan indirin, web sitesi gerçekliğini doğrulayın, güçlü parolalar ve iki faktörlü kimlik doğrulaması kullanın (2FA) finansal hesaplar için kullanın ve cihazlarınızı ve yazılımlarınızı düzenli olarak güncelleyin.
İLGİLİ KONULAR
- Bilgisayar korsanları bankacılık kötü amaçlı yazılımlarını yaymak için Google Sites’ı kullanıyor
- Google, Android, iOS ve Chrome’a yönelik casus yazılım saldırısını açıkladı
- iOS ve Android Kullanıcılarına Yönelik Scylla Reklam Dolandırıcılığı Apple ve Google Tarafından Durduruldu
- Android Bankacılık Kötü Amaçlı Yazılımı FjordPhantom Sanallaştırma Yoluyla Çalıyor
- V3B Kimlik Avı Kiti AB Bankacılık Kullanıcılarının Giriş Bilgilerini ve OTP’lerini Çalıyor