Dolandırıcılık Yönetimi ve Siber Suçlar , Dolandırıcılık Riski Yönetimi , Coğrafi Odak: Asya
Dolandırıcılar, Tespitten Kaçmak İçin Güvenilir Etki Alanlarına Kimlik Avı Bağlantıları Yerleştiriyor
Jayant Chakravarti (@JayJay_Tech) •
11 Aralık 2024
Güvenlik araştırmacılarına göre dolandırıcılar, güvenli e-posta ağ geçitleri, spam filtreleri ve diğer tespit mekanizmaları tarafından tespit edilmekten kaçınmak için e-postalar ve kimlik avı sayfaları oluşturuyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Siber güvenlik şirketi Group-IB Salı günü yaptığı açıklamada, Temmuz ayından itibaren Endonezya, Vietnam, Tayvan, Malezya ve Filipinler’deki dünya çapında birçok endüstride çalışan işçileri hedef alan yeni kimlik avı kampanyaları tespit ettiğini ve en fazla saldırının imalat, havacılık ve kamu kuruluşlarında yaşandığını söyledi.
Saldırganlar, güvenli e-posta ağ geçitlerini atlatmak için meşru hizmetlere kimlik avı URL’leri yerleştirdi. Araştırmacılar, “SEG’lerin saygın platformlara ait URL’leri işaretleme olasılığı daha düşük çünkü bu alan adları bir güvenilirlik geçmişine sahip” dedi.
Group-IB’nin bulguları, Güney Koreli siber güvenlik şirketi AhnLab’ın, Kasım ayında Güney Koreli kuruluşlara karşı gelişmiş kalıcı tehdit grupları tarafından başlatılan tüm saldırıların neredeyse yarısının, meşru hükümet belgelerini gizleyen kötü amaçlı LNK dosyaları içeren hedef odaklı kimlik avı e-postaları biçiminde geldiğini belirtmesinin ardından geldi.
Dağıtılan LNK dosyaları, bilgi sızdırmak ve ek kötü amaçlı yazılım indirmek için birden fazla kötü amaçlı komut dosyası içeriyordu. Araştırmacılar, bilgisayar korsanlarının LNK dosyalarını yeniden adlandırmak için hükümetin katma değer vergisi kurallarındaki güncellemeler, yeni silah sistemleri hakkındaki bilgiler, Donald Trump’ın ticaret politikası, güncellenen birleşme doktrini ve Rusya-Ukrayna savaşı gibi kamuyu ilgilendiren konuları kullandığını ve alıcıları indirmeye teşvik ettiğini söyledi. onlara.
AhnLab araştırmacıları ayrıca vatandaşların katma değer vergileri ve diğer vergileri doldurmaya başladığı Kasım ayında Ulusal Vergi Servisi’ni taklit eden kimlik avı e-postaları gönderen gelişmiş kalıcı tehdit gruplarını da buldu. Firma, “Bu vakaların temel özellikleri arasında tehdit aktörlerinin, gönderenin e-posta adresini Ulusal Vergi Servisi’nden geliyormuş gibi gösterecek şekilde manipüle etmesi ve çeşitli formatlarda kötü amaçlı dosyalar oluşturup eklemesi yer alıyor” dedi.
Group-IB’ye göre bilgisayar korsanları, indd’deki yerleşik bağlantıları kullanarak SEG’leri ve spam filtrelerini atladı[.]kerpiç[.]com, Adobe InDesign ile ilişkili ve InDesign dosyalarını çevrimiçi olarak paylaşmak, bunlar üzerinde ortak çalışma yapmak veya ön izleme yapmak için kullanılan meşru bir Adobe alt alanıdır. Bazı durumlarda, güvenli e-posta ağ geçitlerini atlamak için çok katmanlı bir gizleme oluşturmak amacıyla kullanıcıların mobil tarayıcılarda hızla yüklenen web sayfaları oluşturmasına olanak tanıyan Google hızlandırılmış mobil sayfalarını veya Google AMP’yi de kullandılar.
Saldırganlar, ziyaretçileri doğru yerde olduklarına inandırmak için profesyonel ve orijinal görünen ve tanınmış markaların logolarını içeren 200’den fazla kimlik avı sayfası oluşturdu.
Bu kimlik avı sayfalarının her birinde, kurbanın e-posta adresiyle önceden doldurulmuş oturum açma formları bulunur ve bu da kurbanın mevcut bir oturum açma işlemine devam ediyormuş gibi görünmesini sağlar. Kurbanlar bir kimlik avı sayfasını ziyaret ettiğinde, daha fazla bilgiye erişmek için oturum açma kimlik bilgilerini girmeleri yönünde yönlendirilir, ancak bunu yaptıktan sonra sayfalar ya yenilenir ya da yanlış oturum açma bilgileri girdiklerini söyleyerek ziyaretçinin bilgileri tekrar girmesine neden olur.
Kimlik avı sayfalarının analizi, saldırganların çalınan kimlik bilgilerini özel komut ve kontrol sunucularına veya API’si aracılığıyla bir Telegram botuna gerçek zamanlı olarak iletmek için Javascript parçacıklarını kullandığını ortaya çıkardı. Bu, bilgisayar korsanlarının kimlik bilgilerini kullanarak kurumsal ağlara anında sızmasını ve başka eylemler gerçekleştirmesini sağladı.
Saldırganlar ayrıca kimlik avı sayfalarının web güvenlik kontrollerinden kaçmasını sağlamaya çalıştı. Araştırmacılar, belirli bir saldırıda saldırganların onaltılık veya Base64 kodlama kullanarak komut ve kontrol URL’sini gizlediğini, bunun da güvenlik araçlarının statik analiz sırasında tespitini zorlaştırdığını buldu. Kodlanan URL’nin kodu, kullanıcı kimlik bilgilerinin saldırganın sunucusuna sızması için çalışma zamanında çözüldü.