Netskope Tehdit Labs, teknoloji, üretim ve bankacılık da dahil olmak üzere çeşitli endüstrilerdeki kullanıcıları hedefleyen gelişmiş bir kimlik avı kampanyası ortaya çıkardı.
2014’ten beri aktif olan bu kampanya, kurbanları Webflow İçerik Dağıtım Ağı’nda (CDN) barındırılan kötü amaçlı PDF’leri indirmeye teşvik etmek için arama motoru optimizasyonu (SEO) tekniklerini kullanıyor.
Bu PDF’ler, kullanıcıları kredi kartı detayları, e -posta adresleri ve adlar gibi hassas bilgileri çalmak için tasarlanmış kimlik avı web sitelerine yönlendiren sahte captcha görüntüleri ile gömülüdür.
Saldırı mekanizması
Saldırganlar, belgeleri, grafikleri veya kitap başlıklarını arayan kurbanları hedeflemek için arama motorlarından yararlanır.
Sonuçlarda birden fazla arama anahtar kelimesi içeren kötü niyetli PDF dosyaları görünür ve kullanıcı etkileşimi olasılığını artırır.
Açıldıktan sonra, bu PDF’ler bir kimlik avı bağlantısı ile gömülü sahte bir captcha görüntüsü görüntüler.
Kullanıcılar Captcha düğmesine tıkladığında, meşru bir Cloudflare Turnstile Captcha’ya yönlendirilir.
Bu aldatıcı adım, bir özgünlük yanılsaması yaratır ve kurbanları sürecin güvenli olduğuna ikna eder.
Cloudflare captcha’yı tamamladıktan sonra, kurbanlar orijinal arama sorgusunun adını taşıyan bir dosya sunan bir foruma yönlendirilir.
Bu dosyayı indirmek için, mağdurların e -posta adresi ve tam adı gibi kişisel bilgiler sağlayarak kaydolmaları gerekmektedir.
Daha sonra, süreci tamamlama iddiası altında kredi kartı ayrıntılarını girmeleri istenir.
Kredi kartı detaylarının birden fazla gönderiminden sonra bile, bir hata mesajı görünür, ardından bir HTTP 500 hata sayfasına yönlendirilir.
Temel bulgular
Bu kampanya, kötü niyetli niyeti maskelemek için Webflow CDN ve Cloudflare Captcha gibi meşru hizmetlerin yenilikçi kullanımı ile dikkat çekiyor.
Sahte kaptanın içine kimlik avı bağlantılarını yerleştirerek ve kullanıcıları gerçek güvenlik kontrolleri aracılığıyla yeniden yönlendirerek, saldırganlar statik tarayıcılar ve diğer algılama mekanizmalarını etkin bir şekilde atlar.
En üst düzey bölgeler arasında Kuzey Amerika, Asya ve Güney Avrupa bulunmaktadır.
Kimlik avı şeması, güvenilir platformları kötü niyetli amaçlar için sömürmede siber suçluların artan sofistike olmasını vurgulamaktadır.
Kuruluşlara çalışanlarını bu tür taktikler konusunda eğitmeleri ve bu tehditleri tespit etmek ve azaltmak için sağlam güvenlik çözümleri uygulamaları tavsiye edilir.
Netskope’un yanıtı
Netskope Gelişmiş Tehdit Koruması, bu kampanyayla ilişkili birkaç uzlaşma göstergesi (IOCS) belirlemiştir ve bu tehditlere karşı proaktif bir kapsam sunmaktadır.
Şirket, siber suçla mücadele çabalarının bir parçası olarak, yayından kaldırma için kötü amaçlı URL’leri bildirdi.
Netskope tehdit laboratuvarları bu kampanyayı yakından izlemeye devam ediyor ve kuruluşları kimlik avı faaliyetleri için meşru platformlardan yararlanan benzer saldırılara karşı uyanık kalmaya çağırıyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free