Aldatıcı bir kimlik avı kampanyası, kredi kartı bilgilerini ve iki faktörlü kimlik doğrulama kodlarını çalmak için tasarlanmış ikna edici sahte alan adı yenileme bildirimleriyle WordPress yöneticilerini aktif olarak hedefliyor.
Meşru WordPress.com yenileme hatırlatmaları gibi görünen e-postalar, şüphelenmeyen kurbanları, hassas finansal verilerin anında toplandığı ve Telegram mesajlaşma kanalları aracılığıyla saldırganlara gönderildiği sahte bir ödeme portalına yönlendiriyor.
Saldırı, “Yenileme yakında yapılacak – Eylem gerekli” konu satırını taşıyan, iyi hazırlanmış bir kimlik avı e-postasıyla başlıyor.
Mesaj, alıcıları derhal harekete geçmeye zorlamak için aciliyet temelli taktikler kullanıyor ve gerçek alan adını belirtmeden potansiyel hizmet kesintisi konusunda uyarı veriyor. Bu genel yaklaşım, kampanyanın birden fazla kuruluşa geniş bir ağ yaymasına olanak tanır.
E-posta, spam filtrelerini atlayacak ve gönderenin ayrıntılarını yeterince yakından incelemeyen alıcılara güvenilir görünecek şekilde tasarlanmış gösterişli, profesyonel bir görünüme sahiptir.
.webp)
Bağımsız bir güvenlik analisti Anurag Gawande, kimlik avı altyapısını analiz ettikten sonra kötü amaçlı yazılım kampanyasını belirledi. Araştırmanın ardından Gawande, güvenliği ihlal edilen her hesaptan maksimum değer elde etmek için tasarlanmış, çok aşamalı, karmaşık bir saldırı keşfetti.
E-posta bağlantısını tıklayan mağdurlar, soyfix’teki saldırgan altyapısında barındırılan sahte bir WordPress ödeme sayfasına yönlendiriliyor[.]com/log/log/.
Enfeksiyon mekanizmaları
Sayfada, doğru fiyatlandırma dökümleri, KDV hesaplamaları ve markalı ödeme yöntemi logolarıyla birlikte meşru WordPress ödeme arayüzünün ikna edici bir kopyası görüntülenir.
.webp)
Kimlik avı portalı, kart sahibi bilgilerini, kart sahibinin adını, kart numarasını, son kullanma tarihini ve CVV’yi içeren bir JavaScript formu aracılığıyla toplar.
Gönderim üzerine bu hassas veriler, POST isteği yoluyla send_payment.php adlı bir arka uç komut dosyasına gönderilir ve bu komut dosyası, çalınan kimlik bilgilerini anında saldırganın kontrolündeki Telegram botlarına iletir.
Aldatma, iki faktörlü kimlik doğrulamayı hedefleyen ikinci bir aşamayla derinleşiyor. Kart gönderiminin ardından mağdurlar, satıcı ayrıntılarını, işlem referanslarını ve tutarları gösteren sahte bir 3D Secure doğrulama yöntemiyle karşılaşıyor.
Kullanıcılardan SMS OTP’lerini girmeleri istenir. Ancak doğrulama işlemi, OTP’nin doğru olup olmadığına bakılmaksızın kasıtlı olarak bir “Doğrulama başarısız” mesajı döndürür.
.webp)
Bu, kurbanları birden çok kez yeniden denemeye zorlayarak saldırganların, kurbanın mobil cihazına gönderilen çok sayıda geçerli OTP kodunu toplamasına olanak tanır. Bu kodlar ayrı bir send_sms.php uç noktası aracılığıyla anında Telegram kanallarına aktarılır.
Kampanya, mağdurları meşru bankacılık altyapısıyla çalıştıklarına ikna etmek için yapay yükleme gecikmeleri (ödeme gönderildikten sonra yedi saniyelik bir duraklama ve dört saniyelik doğrulama işlemi gecikmeleri) dahil olmak üzere psikolojik güven mekanizmalarını kullanıyor.
Bu kasıtlı gecikmeler kullanıcının şüphesini azaltır ve uyumluluk olasılığını artırır.
Saldırganlar, Telegram’ı birincil sızma kanalı olarak kullanarak geleneksel komuta ve kontrol altyapısından akıllıca kaçınıyorlar. Bu yaklaşım çeşitli avantajlar sunar: minimum altyapı maliyetleri, yerleşik şifreleme, kesinti zorluğu ve geleneksel barındırılan panellere kıyasla daha az tespit edilebilirlik.
E-posta başlığı analizi, kampanyanın kaçınılmaz gençlerden kaynaklandığını ortaya koyuyor[.]com, sahteciliğe karşı koruma sağlamayan zayıf bir DMARC politikasıyla Alibaba Cloud SMTP altyapısı üzerinden aktarılıyor.
Kuruluşlar, yöneticilerini e-postalardaki alan adı yenileme bağlantılarına asla tıklamamaları ve bunun yerine tüm yenileme bildirimlerini doğrudan resmi WordPress kontrol panelleri aracılığıyla doğrulamaları konusunda eğitmelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
