Siber güvenlik araştırmacıları, tehdit aktörlerinin Cloudflare ve Microsoft Sway gibi meşru hizmetleri kendi çıkarları doğrultusunda kötüye kullanmaya devam etmesi nedeniyle, Webflow adlı bir web sitesi oluşturma aracı kullanılarak oluşturulan kimlik avı sayfalarında ani bir artış olduğu konusunda uyardı.
Netskope Threat Labs araştırmacısı Jan Michael Alcantara, “Kampanyalar, Coinbase, MetaMask, Phantom, Trezor ve Bitbuy dahil olmak üzere farklı kripto cüzdanlarındaki hassas bilgilerin yanı sıra birden fazla şirketin web posta platformuna yönelik oturum açma kimlik bilgilerini ve Microsoft 365 oturum açma kimlik bilgilerini hedef alıyor” dedi. söz konusu bir analizde.
Siber güvenlik şirketi, Nisan ve Eylül 2024 arasında Webflow kullanılarak oluşturulan kimlik avı sayfalarına yönelik trafikte 10 kat artış gözlemlediğini ve saldırıların dünya çapında 120’den fazla kuruluşu hedef aldığını söyledi. Hedeflenenlerin çoğunluğu Kuzey Amerika ve Asya’da bulunuyor ve finansal hizmetler, bankacılık ve teknoloji sektörlerini kapsıyor.
Saldırganların, bağımsız kimlik avı sayfaları oluşturmak ve şüphelenmeyen kullanıcıları kendi kontrolleri altındaki diğer kimlik avı sayfalarına yönlendirmek için Webflow’u kullandıkları gözlemlendi.
Michael Alcantara, “İlki saldırganlara gizlilik ve kolaylık sağlıyor çünkü yazılacak ve tespit edilecek kimlik avı kodu satırları yok, ikincisi ise saldırgana gerektiğinde daha karmaşık eylemler gerçekleştirme esnekliği veriyor.” dedi.
Webflow’u Cloudflare R2 veya Microsoft Sway’den çok daha çekici kılan şey, şüphe uyandırmaya eğilimli, otomatik olarak oluşturulan rastgele alfanümerik alt alanların aksine, kullanıcıların hiçbir ek ücret ödemeden özel alt alan adları oluşturmasına olanak sağlamasıdır.
- Cloudflare R2 – https://pub-.r2.dev/webpage.htm
- Microsoft Sway – https://sway.cloud.microsoft/{16_alphanumeric_string}?ref={sharing_option}
Saldırının başarılı olma olasılığını artırmak amacıyla, kimlik avı sayfaları, kullanıcıları kimlik bilgilerini verme konusunda yanıltmak amacıyla yasal benzerlerinin oturum açma sayfalarını taklit edecek şekilde tasarlanmıştır ve bu bilgiler daha sonra bazı durumlarda farklı bir sunucuya sızdırılır.
Netskope ayrıca meşru bir cüzdan ana sayfasının ekran görüntüsünü kendi açılış sayfaları olarak kullanan ve sahte sitede herhangi bir yere tıklandığında ziyaretçiyi gerçek dolandırıcılık sitesine yönlendiren Webflow kripto dolandırıcılığı web sitelerini de tanımladığını söyledi.
Kripto kimlik avı kampanyasının nihai hedefi, kurbanın temel ifadelerini çalarak saldırganların kripto para birimi cüzdanlarının kontrolünü ele geçirmesine ve fonları boşaltmasına olanak sağlamaktır.
Siber güvenlik firmasının tespit ettiği saldırılarda, kurtarma ifadesini sağlayan kullanıcılara, “yetkisiz etkinlik ve kimlik tespiti hatası” nedeniyle hesaplarının askıya alındığını belirten bir hata mesajı gösteriliyor. Mesaj ayrıca kullanıcıdan tawk.to’da çevrimiçi bir sohbet başlatarak destek ekibiyle iletişime geçmesini ister.
LiveChat, Tawk.to ve Smartsupp gibi sohbet hizmetlerinin, Avast tarafından CryptoCore olarak adlandırılan bir kripto para dolandırıcılığı kampanyasının parçası olarak kötüye kullanıldığını belirtmekte fayda var.
Michael Alcantara, “Kullanıcılar, bankacılık portalları veya web postaları gibi önemli sayfalara, arama motorlarını kullanmak veya başka herhangi bir bağlantıya tıklamak yerine her zaman URL’yi doğrudan web tarayıcısına yazarak erişmelidir.” dedi.
Bu gelişme, siber suçluların karanlık ağda Google’ın bot karşıtı hizmetlerini devre dışı bıraktığını iddia eden yeni anti-bot hizmetlerinin reklamını yapmasıyla ortaya çıktı. Güvenli Tarama uyarıları Chrome web tarayıcısında.
SlashNext, “Otus Anti-Bot, Remove Red ve Limitless Anti-Bot gibi anti-bot hizmetleri, karmaşık kimlik avı operasyonlarının temel taşı haline geldi.” söz konusu yakın zamanda yayınlanan bir raporda. “Bu hizmetler, güvenlik tarayıcılarının kimlik avı sayfalarını tespit etmesini ve bunları engellenenler listesine eklemesini engellemeyi amaçlıyor.”
“Bu araçlar, siber güvenlik botlarını filtreleyerek ve kimlik avı sayfalarını tarayıcılardan gizleyerek, kötü amaçlı sitelerin ömrünü uzatarak suçluların tespit edilmekten daha uzun süre kaçmasına yardımcı oluyor.”
Devam eden malspam ve kötü amaçlı reklam kampanyaları da keşfedildi WARMCOOKIE (diğer adıyla BadSpace) adı verilen ve aktif olarak gelişen bir kötü amaçlı yazılımın yayılmasına neden olan bu yazılım, daha sonra CSharp-Streamer-RAT ve Cobalt Strike gibi kötü amaçlı yazılımlar için bir kanal görevi görüyor.
“WarmCookie, düşmanlar için yük dağıtımı, dosya manipülasyonu, komut yürütme, ekran görüntüsü toplama ve kalıcılık dahil olmak üzere çeşitli yararlı işlevler sunar; bu da, güvenliği ihlal edilmiş ağ ortamlarında daha uzun vadeli, kalıcı erişimi kolaylaştırmak için ilk erişim elde edildikten sonra sistemlerde kullanımını cazip hale getirir , Cisco Talos söz konusu.
Kaynak kodunun analizi, kötü amaçlı yazılımın, Rhadamanthys bilgi çalan yazılımla birlikte TA866 (diğer adıyla Asylum Ambuscade) adlı bir izinsiz giriş setinin parçası olarak yerleştirilen bir uzlaşma sonrası implant olan Resident ile muhtemelen aynı tehdit aktörleri tarafından geliştirildiğini gösteriyor. Bu kampanyalarda imalat sektörü öne çıkarılmış, ardından hükümet ve mali hizmetler sektörü yakından takip edilmiştir.
“Dağıtım kampanyalarıyla ilişkili uzun vadeli hedefleme ayrım gözetmiyor gibi görünse de, takip eden yüklerin gözlemlendiği vakaların çoğu Amerika Birleşik Devletleri’ndeydi ve ek vakalar Kanada, Birleşik Krallık, Almanya, İtalya, Avusturya ve Hollanda’ya yayıldı. “Talos söz konusu.