Kasım 2025 ile Ocak 2026 arasında aktif olan karmaşık bir kimlik avı kampanyası, şüphelenmeyen kurbanlara uzaktan erişim araçları dağıtmak için Vercel’in meşru barındırma platformunu kullanıyor.
Saldırı zinciri, sosyal mühendisliği güvenilir etki alanı istismarıyla birleştirerek geleneksel güvenlik katmanlarını aşmada özellikle etkili hale getiriyor.
Saldırganlar, kullanıcıları kötü amaçlı bağlantılara tıklamaya zorlamak için gecikmiş faturalar, ödeme ekstreleri ve nakliye belgeleri gibi finansal temalı tuzaklar kullanarak kimlik avı e-postaları hazırlar.
Kampanya, tehdit aktörlerinin taktiklerinde, basit kötü amaçlı yazılım dağıtımının ötesine geçerek gelişmiş kaçınma tekniklerini uygulamaya geçen bir değişimi gösteriyor.
Mağdurlar, “vadesinin 43 gün geçmesi” gibi aciliyet odaklı bir dil içeren veya hizmetin askıya alınması tehdidi içeren e-postalar alıyor ve bu da onları hiper bağlantılı içerikle etkileşime girmeye zorluyor.
.webp)
Saldırgan, doğal olarak e-posta filtrelerini aşan ve alıcılarda sahte bir güvenlik hissi yaratan Vercel’in güvenilir bir platform olarak itibarına güveniyor.
Bazı varyantlar, İspanyolca e-postaların güvenlik güncellemesi bildirimi gibi görünmesiyle belirli bölgeleri hedeflerken, diğerleri Adobe PDF görüntüleyicileri veya finansal portallar gibi yasal hizmetleri taklit eder.
.webp)
Cloudflare analistleri, Vercel’in kötüye kullanım kalıplarını incelerken bu tehdidi tespit etti ve kampanyanın Haziran 2025’te CyberArmor tarafından ilk belgelenmesinden bu yana önemli ölçüde geliştiğini keşfetti.
Araştırmacılar, tehdit aktörlerinin, güvenlik araştırmacılarının ve otomatik sanal alanların veri yüküne erişmesini engellemek için tasarlanmış gelişmiş Telegram tabanlı filtreleme mekanizmaları uyguladığını belirtti.
Tarayıcı Parmak İzi ve Koşullu Teslimat Yoluyla Enfeksiyon
Kurbanlar kötü niyetli Vercel bağlantısını tıkladıklarında, yük tesliminden önce teknik olarak gelişmiş bir kaçınma mekanizmasıyla karşılaşıyorlar.
Saldırganın altyapısı, tarayıcı parmak izi alma, IP adreslerini, cihaz türlerini, tarayıcı bilgilerini ve coğrafi konumu toplama işlemlerini gerçekleştirir.
Toplanan bu veriler, otomatik sistemlerin kurbanın gerçek bir hedefi temsil edip etmediğini değerlendirdiği, tehdit aktörlerinin kontrolündeki bir Telegram kanalına sızdırılıyor.
.webp)
Onaylanan kurbanlar sahte bir belge görüntüleme arayüzüne geçerken, güvenlik araştırmacıları ve şüpheli bağlantılar filtrelenir.
Daha sonra kullanıcılardan, “Statements05122025.exe” veya “Invoice06092025.exe.bin” gibi adlara sahip, yasal belgeler gibi görünen dosyaları indirmeleri istenir.
Verinin kendisi özel bir kötü amaçlı yazılım değil, GoTo Resolve (eski adıyla LogMeIn) uzaktan erişim yazılımının meşru, imzalı bir kopyasıdır. Saldırganlar, bu “Karadan Yaşamak” tekniğinden yararlanarak imza tabanlı antivirüs tespit sistemlerini atlıyor.
Araç, çalıştırıldıktan sonra uzak komut sunucularına bağlantılar kurarak tehdit aktörlerine tam uzaktan kontrol ve sistem erişimi sağlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
