Rastgele oluşturulmuş Evrensel Benzersiz Tanımlayıcılardan (UUID’ler) yararlanan, Güvenli E-posta Ağ Geçitlerini (SEG’ler) başarıyla atlayan ve çevre savunmalarından kaçan karmaşık bir kimlik avı kampanyası ortaya çıktı.
Saldırı, kimlik bilgilerini çalmak için rastgele etki alanı seçimi, dinamik UUID oluşturma ve sunucu odaklı sayfa değiştirmeyi birleştiren gelişmiş bir JavaScript tabanlı kimlik avı komut dosyası kullanıyor.
Statik yönlendirmelere dayanan geleneksel kimlik avı operasyonlarının aksine, bu kampanya taktiksel hassasiyet sergiliyor.
Kimlik avı komut dosyası, HTML eklerine veya Microsoft OneDrive, SharePoint Online, DocuSign ve Adobe Acrobat Sign gibi sahte dosya paylaşım platformlarına kötü amaçlı kod yerleştirerek çalışır.
Kurbanlar görünüşte meşru belgelerle etkileşime girdiğinde, komut dosyası etkinleştiriliyor ve önceden tanımlanmış dokuz adres arasından rastgele bir .org alanı seçiliyor.
Bu alanlar, engellenenler listelerinden ve makine öğrenimi tespit sistemlerinden kaçınmak için kasıtlı olarak tasarlanmış, tanınabilir kelime kalıpları olmadan toplu olarak oluşturulmuş görünmektedir.
Komut dosyası, kampanya tanımlayıcı olarak sabit kodlanmış bir UUID kullanırken bireysel kurbanları izlemek için dinamik bir UUID oluşturur.
Cofense araştırmacıları, bu olağandışı taktiği Şubat 2025’in başlarında tespit ederek, devam eden doğasına ve karmaşıklığına dikkat çekti.
İkili UUID mekanizması, kimlik avı operasyonlarında özellikle nadir görülen bir özellik olarak öne çıkıyor.
.webp)
Etki alanı seçimi ve UUID oluşturulduktan sonra komut dosyası, seçilen sunucunun API uç noktasına bir HTTPS POST isteği gönderir.
Sunucu, kişiselleştirilmiş kurumsal giriş sayfaları gibi, kurbanın bağlamına göre uyarlanmış, dinamik olarak oluşturulmuş içerikle yanıt verir.
Bu yaklaşım, tehdit aktörlerinin URL’leri değiştirmeden web sayfası içeriğini değiştirmesine olanak tanır.
Dinamik Sayfa Değiştirme
En aldatıcı yönü, geleneksel yönlendirmeler olmadan kimlik bilgisi avı sayfaları sunmak için tarayıcı oturumlarını manipüle eden dinamik sayfa değiştirme yeteneğini içerir.
Bu komut dosyası, görünür URL’leri değiştiren window.location.href yönlendirmelerini kullanmak yerine, sayfa içeriğini sunucu tarafından sağlanan HTML ile değiştirmek için DOM manipülasyon tekniklerini kullanır.
.webp)
Sunucu odaklı doğa, kurban bağlamına dayalı olarak gerçek zamanlı özelleştirmeye olanak tanır. Kullanıcılar e-posta adreslerini girdiğinde, komut dosyası etki alanlarını çıkarır ve ilgili markalı oturum açma sayfalarını oluşturmak için arka uç altyapısına sinyal verir.
Bu kişiselleştirme, şüpheyi azaltırken mağdurun güvenini de önemli ölçüde artırıyor. Baştan sona sürdürülen kusursuz deneyim, başarılı kimlik bilgisi toplama için kritik önem taşıyor ve modern saldırıların, basit e-posta aldatmacasının ötesinde, karmaşık tarayıcı tabanlı manipülasyona nasıl evrildiğini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
