Vercel barındırma platformunu kötüye kullanan yeni bir kimlik avı kampanyası en az Kasım 2025’ten beri aktif ve giderek daha karmaşık hale geliyor.
Temel püf noktası “miras alınan güven”dir. Saldırganlar, ödenmemiş faturalar, ödeme ekstreleri veya belge incelemeleri gibi finansal veya iş temalı kısa kimlik avı e-postaları gönderir. Gerçek kanca metin değil, gömülü *.vercel.app bağlantısıdır.
Vercel.app meşru ve yaygın olarak kullanılan bir barındırma alanı olduğundan, birçok e-posta filtresinin onu işaretleme olasılığı daha düşüktür.
Bağlantılı sayfalar, güvenli bir PDF görüntüleyici, finansal portal, belge imzalama hizmeti veya yazılım indirme sayfası gibi görünecek şekilde düzenlenmiştir. Bazı durumlarda saldırganlar BT veya destek personeli gibi davranarak mağdurlara Vercel sayfası aracılığıyla “bir düzeltme yüklemeleri” konusunda rehberlik ediyor.
İlk olarak Haziran 2025’te CyberArmor tarafından belgelenen operasyon, artık basit dosya dağıtımından, geçiş için Telegram’ı ve uzaktan erişim arka kapısı olarak GoTo Resolve’u kullanan seçici, “koşullu” bir enfeksiyon zincirine dönüştü.
Gözlemlenen temalar arasında vadesi geçmiş faturalar (“vadesi geçmiş 43 gün”), İspanyolca hizmetin askıya alınması uyarıları, olası dava bildirimleri ve hatta işletme sayfası sahiplerine yönelik Meta “Topluluk Standartları” uyarıları yer alıyor.
Phishing Saldırısının Aşamaları
Bir kurban Vercel bağlantısını tıkladığında yük hemen teslim edilmiyor. Bunun yerine, sayfa öncelikle tarayıcının parmak izini alır ve IP adresini, konumu, cihaz türünü ve tarayıcı ayrıntılarını toplar. Bu bilgiler daha sonra saldırganlar tarafından kontrol edilen bir Telegram kanalına gönderilir.
Bu verileri kullanarak arka uç, yükün sunulup sunulmayacağına karar verir. Şüpheli sanal alanlar, güvenlik araştırmacıları veya hedef dışı bölgeler filtrelenir.
Kullanıcıyı gömülü vercel.app bağlantısını tıklamaya zorlamak için acil bir dil (“vadesi gelen ödeme”, “fatura ekli”) kullanılarak e-posta gövdesi genellikle minimum düzeydedir.
Yalnızca “geçerli” hedefler sahte görüntüleyiciyi veya fatura sayfasını görür ve genellikle “Statements05122025.exe” veya “Invoice06092025.exe.bin” olarak adlandırılan bir dosyayı indirmeleri istenir.
İndirilen dosya, özel bir kötü amaçlı yazılım değil, meşru bir uzaktan erişim ve destek aracı olan GoTo Resolve (eski adıyla LogMeIn) için imzalı bir yükleyicidir.
Saldırganlar, bariz kötü amaçlı yazılımlar yerine güvenilir yazılımlar kullanarak bu “Yerden Yaşamak” yaklaşımını kötüye kullanarak birçok imza tabanlı antivirüs motorunu geçebilir.
GoTo Resolve yürütüldüğünde uzak sunuculara bağlanır ve saldırgana kurbanın sisteminin tam uzaktan kontrolünü sağlayarak etkili bir şekilde gizli bir arka kapı görevi görür.
Tespit ve savunma
Savunmacılar, tıklama zamanı URL analizine, hizmet kötüye kullanımının ve marka kimliğine bürünmenin tespitine ve vercel.app ile dalgalanma.sh gibi benzer alt alanların daha sıkı izlenmesine odaklanmalıdır.
Uygulama kontrol politikaları, uzaktan destek araçlarını kimin kurabileceğini sınırlamalı ve kullanıcı eğitiminde, asma kilit simgesinin ve bilinen etki alanının güvenliği garanti etmediği vurgulanmalıdır.
Cloudflare Email Security, SentimentCM.Banking.Invoice.Service_Abuse.Vercel.Link, Brand_Impersonation.Facebook.Service_Abuse.Vercel.Link ve Service_Abuse.Vercel.URL_Shortener.Link gibi kurallar da dahil olmak üzere bu etkinlik için birden fazla algılama yayınladı; bunlardan bazıları zaten son 30 gün içinde on binlerce isabet kaydediyor ve bu tehdidin aktif ve yaygın olduğunun altını çiziyor.
IOC’ler
| Gösterge/Etki Alanı | Açıklama / Durum |
|---|---|
| Vadesi gelmiş ödeme faturası eklendi[.]vercel[.]uygulama | Birincil damlalık URL’si |
| ödeme talebifaturadueekli[.]vercel[.]uygulama | Onaylanmış damlalık |
| fatura-110493[.]vercel[.]uygulama | Onaylanmış damlalık |
| petrolfaturaödenmemişödenmemiş[.]vercel[.]uygulama | Onaylanmış damlalık |
| ücretlirepotmentinvoice[.]vercel[.]uygulama | Onaylanmış damlalık |
| ödenmemişfaturatalep edilenhizmet ayrıntıları[.]vercel[.]uygulama | Muhtemelen kötü amaçlı (eşleşen TTP’ler) |
| requestpaymentdueattachedts[.]vercel[.]uygulama | Muhtemelen kötü amaçlı (eşleşen TTP’ler) |
| olağanüstü bildirimdetayları bağlırb[.]vercel[.]uygulama | Muhtemelen kötü amaçlı (eşleşen TTP’ler) |
| satışrepakt beyanı ayrıntıları[.]vercel[.]uygulama | Muhtemelen kötü amaçlı (eşleşen TTP’ler) |
| Bekleyen ödemenizi geri gönderin[.]vercel[.]uygulama | Muhtemelen kötü amaçlı (eşleşen TTP’ler) |
| ödenmemişfaturaemitaath[.]vercel[.]uygulama | OSINT onaylandı |
| irsaliye-teslimat bileti[.]vercel[.]uygulama | OSINT onaylandı |
| yatırım2025[.]vercel[.]uygulama | OSINT onaylandı |
| yatırım[.]vercel[.]uygulama | OSINT onaylandı |
| Windows Corps[.]vercel[.]uygulama | OSINT onaylandı |
| faturalar-eklipdf[.]vercel[.]uygulama | OSINT onaylandı |
| dhl-teslimat-raporu[.]vercel[.]uygulama | OSINT onaylandı |
| dhl-gönderi-detay[.]vercel[.]uygulama | OSINT onaylandı |
| ekspres teslimat notu[.]vercel[.]uygulama | OSINT onaylandı |
| belge beyanları[.]vercel[.]uygulama | OSINT onaylandı |
| gönderi-docspdf[.]kabarmak[.]ş | OSINT onaylandı (Dalgalanmanın kötüye kullanılması) |
| posta[.]bta[.]ro | OSINT ilişkili alan adı |
| evi bul[.]cl | OSINT ilişkili alan adı |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.