Yeni QR Kod Kimlik Avı Kampanyası Microsoft Sway’i Kullanarak Kimlik Bilgilerini Çalıyor


28 Ağu 2024Ravie LakshmananKimlik Avı Saldırısı / Veri İhlali

QR Kod Kimlik Avı

Siber güvenlik araştırmacıları, Microsoft Sway altyapısını kullanarak sahte sayfalar barındıran yeni bir QR kod kimlik avı (quishing) kampanyasına dikkat çekiyor ve bu, meşru bulut hizmetlerinin kötü amaçlı olarak kötüye kullanıldığını bir kez daha ortaya koyuyor.

Netskope Threat Labs araştırmacısı Jan Michael Alcantara, “Saldırganlar, meşru bulut uygulamalarını kullanarak kurbanlara güvenilirlik sağlıyor ve onların sunduğu içeriğe güvenmelerine yardımcı oluyor” dedi.

“Ek olarak, bir kurban bir Sway sayfasını açtığında zaten oturum açmış olduğu Microsoft 365 hesabını kullanır, bu da onu sayfanın meşruluğu konusunda ikna etmeye yardımcı olabilir. Sway ayrıca bir bağlantı (URL bağlantısı veya görsel bağlantı) aracılığıyla paylaşılabilir veya bir iframe kullanılarak bir web sitesine yerleştirilebilir.”

Saldırılar öncelikle Asya ve Kuzey Amerika’daki kullanıcıları hedef aldı, en çok ilgi gören sektörler ise teknoloji, üretim ve finans sektörleri oldu.

Siber Güvenlik

Microsoft Sway, bültenler, sunumlar ve belgeler oluşturmak için bulut tabanlı bir araçtır. 2015’ten beri Microsoft 365 ürün ailesinin bir parçasıdır.

Siber güvenlik firması, Temmuz 2024’ten itibaren benzersiz Microsoft Sway kimlik avı sayfalarına gelen trafiğin 2.000 kat arttığını ve nihai hedefin kullanıcıların Microsoft 365 kimlik bilgilerini çalmak olduğunu söyledi. Bu, tarandığında kullanıcıları kimlik avı web sitelerine yönlendiren Sway’de barındırılan sahte QR kodları sunularak gerçekleştirilir.

Statik analiz çabalarından kaçınmak için yapılan bir diğer girişimde, bu quishing kampanyalarından bazılarının, alan adlarını statik URL tarayıcılarından gizlemenin bir yolu olarak Cloudflare Turnstile’ı kullandığı gözlemlendi.

Faaliyet ayrıca, benzer oturum açma sayfaları kullanarak kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak için düşman-aracı (AitM) kimlik avı taktiklerinden (yani şeffaf kimlik avından) yararlanması ve aynı anda kurbanı hizmete kaydetmeye çalışmasıyla da dikkat çekiyor.

“QR kodlarını kurbanları kimlik avı web sitelerine yönlendirmek için kullanmak, savunmacılar için bazı zorluklar yaratıyor,” dedi Michael Alcantara. “URL bir görüntünün içine yerleştirildiği için, yalnızca metin tabanlı içeriği tarayabilen e-posta tarayıcıları atlatılabilir.”

“Ek olarak, bir kullanıcıya bir QR kodu gönderildiğinde, kodu taramak için cep telefonu gibi başka bir cihazı kullanabilir. Mobil cihazlarda, özellikle kişisel cep telefonlarında uygulanan güvenlik önlemleri genellikle dizüstü bilgisayarlar ve masaüstü bilgisayarlar kadar sıkı olmadığından, kurbanlar genellikle suistimale karşı daha savunmasızdır.”

Bu, kimlik avı saldırılarının Microsoft Sway’i kötüye kullandığı ilk sefer değil. Nisan 2020’de Group-IB, kurbanları kimlik bilgisi toplama sitelerine yönlendirmek için sıçrama tahtası olarak Sway’i kullanarak Almanya, Birleşik Krallık, Hollanda, Hong Kong ve Singapur merkezli çeşitli firmalarda en az 156 üst düzey yöneticinin kurumsal e-posta hesaplarını başarıyla ele geçiren PerSwaysion adlı bir kampanyayı ayrıntılı olarak açıkladı.

Siber Güvenlik

Bu gelişme, güvenlik sağlayıcılarının görüntü tabanlı tehditleri tespit edip engellemek için karşı önlemler geliştirmesiyle birlikte bastırma kampanyalarının daha da karmaşık hale gelmesiyle birlikte ortaya çıktı.

“Akıllıca bir hamleyle, saldırganlar artık görseller yerine Unicode metin karakterleri kullanarak QR kodları oluşturmaya başladılar,” dedi SlashNext CTO’su J. Stephen Kowski. “‘Unicode QR Kod Sahteciliği’ adını verdiğimiz bu yeni teknik, geleneksel güvenlik önlemlerine önemli bir meydan okuma sunuyor.”

Saldırıyı özellikle tehlikeli yapan şey, tamamen metin karakterlerinden oluştuğu için şüpheli görüntüleri taramak için tasarlanmış tespitleri tamamen atlatması gerçeğidir. Dahası, Unicode QR kodları herhangi bir sorun olmadan ekranlarda mükemmel bir şekilde işlenebilir ve düz metin olarak görüntülendiğinde belirgin şekilde farklı görünebilir, bu da tespit çabalarını daha da karmaşık hale getirir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link