Kullanıcıları oturum açma kimlik bilgilerini teslim etmeleri için kandırmak amacıyla meşru küresel markaların kimliğine bürünerek Orta ve Doğu Avrupa’daki kuruluşları hedef alan karmaşık bir kimlik avı kampanyası ortaya çıktı.
Saldırı, e-posta eki olarak gönderilen bağımsız HTML dosyalarını kullanarak harici sunucu barındırma ihtiyacını veya geleneksel güvenlik sistemlerinin genellikle algıladığı şüpheli URL’leri ortadan kaldırıyor.
Bu ekler açıldıktan sonra Microsoft 365, Adobe, WeTransfer, FedEx ve DHL gibi markalar için ikna edici sahte giriş sayfaları sunarak geleneksel e-posta güvenlik kontrollerini atlayacak şekilde tasarlanmış kusursuz bir kullanıcı deneyimi yaratıyor.
Saldırı metodolojisi, bölgesel iş uygulamalarının net bir şekilde anlaşıldığını göstermektedir.
Tehdit aktörleri, meşru müşteriler veya iş ortakları gibi davranarak, RFQ_4460-INQUIRY.HTML gibi RFC uyumlu dosya adları aracılığıyla fiyat teklifi veya fatura onayı talep eden kimlik avı e-postaları dağıtır.
Bu hedefe yönelik yaklaşım, başta Çek Cumhuriyeti, Slovakya, Macaristan ve Almanya olmak üzere tarım, otomotiv, inşaat ve eğitim sektörleri dahil olmak üzere düzenli satın alma iş akışlarına sahip sektörlere odaklanmaktadır.
Cyble güvenlik analistleri, kampanyanın başarısının, kimlik bilgilerini yakalayan ve bunları geleneksel komuta ve kontrol sunucuları yerine doğrudan saldırgan tarafından kontrol edilen Telegram botlarına ileten HTML ekleri içindeki gömülü JavaScript’e dayandığını belirledi.
Uygulamanın ardından kurbanlar, daha fazla meşruiyet için bulanık arka plan resimleriyle markanın orijinal markasını gösteren, dikkatle kopyalanmış bir giriş arayüzüyle karşılaşır.
Kampanyaya Genel Bakış
Kimlik bilgisi yakalama mekanizması, form alanı değerlerini okuyarak ve çalınan verileri doğrudan Telegram Bot API’si aracılığıyla göndermek için API istekleri oluşturarak çalışır.
Teknik analiz, analiz edilen örnekler arasında iki farklı uygulama yaklaşımını ortaya koymaktadır. İlk varyant, mağdurları meşru şirket alanlarına yönlendirmeden önce e-posta adreslerini, şifreleri, IP adreslerini ve kullanıcı aracısı bilgilerini yakalarken gizleme için CryptoJS AES şifrelemesini uygular.
.webp)
İkinci örnekte, kod incelemesini ve analizini önlemek için F12, Ctrl+U/S/C/A/X gibi klavye kombinasyonlarını ve sağ tıklama bağlam menülerini engelleyen daha gelişmiş adli tıp önleme teknikleri kullanılır.
Süzme işlevi, jQuery bağımlılıkları yerine daha temiz kod uygulaması için yerel Fetch API’yi kullanarak teknik gelişmişliği gösterir.
JavaScript, HTTPS yoluyla api.telegram.org/bot uç noktalarına sabit kodlanmış bot belirteçleri ve doğrudan yüke gömülü sohbet kimlikleri ile gönderilen toplanan kimlik bilgilerini içeren POST isteklerini oluşturur.
Bu yaklaşım, merkezi olmayan bot altyapısı aracılığıyla operasyonel esnekliği korurken şüpheli ağ modellerini kasıtlı olarak önler.
Kuruluşlar, son kullanıcılara teslim edilmeden önce potansiyel olarak kötü amaçlı HTML dosyalarını engellemek veya korumalı alanda tutmak için HTML ek kontrollerini dağıtmaya ve içerik inceleme ilkelerini uygulamaya öncelik vermelidir.
Güvenlik ekiplerine, istemci sistemlerinden kaynaklanan api.telegram.org POST etkinliğini aramaları ve kimlik bilgilerinin ele geçirilip geçirilmediğini değerlendirmek üzere belirlenen göstergeler için geriye dönük tehdit aramaları yapmaları önerilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
