Ortadaki açık kaynaklı bir düşman (AiTM) kimlik avı kiti, saldırıları geniş ölçekte düzenleme yeteneği nedeniyle siber suç dünyasında çok sayıda alıcı buldu.
Microsoft Tehdit İstihbaratı, ortaya çıkan lakabıyla kitin geliştirilmesinin arkasındaki tehdit aktörünü izliyor DEV-1101.
Bir AiTM kimlik avı saldırısı, tipik olarak, kullanıcı ile web sitesi arasında bir proxy sunucusu konuşlandırarak bir hedefin parolasını ve oturum tanımlama bilgilerini çalmaya ve bunlara müdahale etmeye çalışan bir tehdit aktörünü içerir.
Bu tür saldırılar, çok faktörlü kimlik doğrulama (MFA) korumalarını atlatabilmeleri nedeniyle daha etkilidir.
Teknoloji devine göre DEV-1101’in, diğer suç aktörleri tarafından satın alınabilen veya kiralanabilen birkaç kimlik avı kitinin arkasındaki taraf olduğu ve böylece bir kimlik avı kampanyası başlatmak için gereken çabayı ve kaynakları azalttığı söyleniyor.
Microsoft, “Saldırganlar tarafından satın alınabilecek bu tür kimlik avı kitlerinin bulunması, siber suç ekonomisinin sanayileşmesinin bir parçasıdır ve siber suçlara giriş engelini azaltır.” söz konusu teknik bir raporda.
Bu tür teklifleri besleyen hizmet tabanlı ekonomi, çalınan kimlik bilgilerinin hem hizmet olarak kimlik avı sağlayıcısına hem de onların müşterilerine gönderildiği çifte hırsızlığa da neden olabilir.
DEV-1101’in açık kaynak kiti, Microsoft Office ve Outlook’u taklit eden kimlik avı açılış sayfaları kurmayı, mobil cihazlardan kampanyaları yönetmeyi ve hatta tespit edilmekten kaçınmak için CAPTCHA kontrollerini kullanmayı mümkün kılan özelliklerle birlikte gelir.
Hizmet, Mayıs 2022’deki ilk çıkışından bu yana çeşitli geliştirmelerden geçti ve bunların en önemlisi, kiti çalıştıran sunucuları bir Telegram botu aracılığıyla yönetme yeteneği oldu. Şu anda aylık lisans ücreti için 300 ABD doları, VIP lisansları ise 1.000 ABD doları tutarında bir fiyat etiketine sahiptir.
Microsoft, araçtan yararlanan çeşitli aktörlerden günde milyonlarca kimlik avı e-postasını kapsayan çok sayıda yüksek hacimli kimlik avı kampanyası tespit ettiğini söyledi.
Buna, Redmond’un “DEV-1101’in en önde gelen müşterilerinden” biri olarak tanımladığı ve Eylül 2022’den bu yana bir milyondan fazla e-posta içeren bir kimlik avı kampanyasıyla bağlantılı olan DEV-0928 adlı bir etkinlik kümesi dahildir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Saldırı sırası, tıklandığında alıcıyı Microsoft’un oturum açma portalı gibi görünen bir oturum açma sayfasına yönlendiren, ancak kurbanı bir CAPTCHA adımını tamamlamaya zorlamadan önce değil, bir PDF belgesine bağlantı içeren belge temalı e-posta mesajlarıyla başlar.
Microsoft, “Kimlik avı dizisine bir CAPTCHA sayfası eklemek, otomatik sistemlerin son kimlik avı sayfasına ulaşmasını zorlaştırabilirken, bir insan kolayca bir sonraki sayfaya geçebilir” dedi.
Bu AiTM saldırıları MFA’yı atlayacak şekilde tasarlansa da, kuruluşların şüpheli oturum açma girişimlerini engellemek için FIDO2 güvenlik anahtarlarını kullanmak gibi kimlik avına dayanıklı kimlik doğrulama yöntemlerini benimsemesi çok önemlidir.