Giriş
Bluekit, sürekli olarak gelişen bir phishing-as-a-service platformudur ve son haftada yaklaşık 70 yeni hostname belirlenmiştir. Bu platform, tarayıcı içinde “browser-in-the-middle” (BitM) yetenekleri ekleyerek veri hırsızlığını daha da etkin hale getirmektedir.
Saldırı Nasıl Çalışıyor?
Bluekit, saldırılarda kullanılan bir tarayıcı oturumunu kurbanın etkileşimiyle kontrol altına alır. Saldırgan, meşru bir giriş sayfasını yükler ve kurban ile hedef hizmet arasındaki istek ve yanıtları yönlendirir.
Netcraft’ın raporuna göre, Bluekit, açık kaynak JavaScript kütüphanesi ‘rrweb’ kullanarak sayfanın DOM’unu serileştirir ve bunu bir WebSocket bağlantısı ile kurbanın cihazına akıtır. Bu yöntemle:
- Kurbandan gelen görsel veriler, saldırganın tarayıcısına iletilir.
- Giriş işlemi saldırganın tarayıcısında tamamlanır, böylece kurbanın hesabına sınırsız erişim sağlanır.
Ancak, tanınabilir bazı gecikmeler mevcut olduğundan, giriş sayfalarındaki her türlü klavye girişi ve fare tıklamasındaki gecikmeler, dikkat edilmesi gereken kırmızı bayraklar olarak değerlendirilmelidir.
Etkilenen Sistemler
Bluekit, önemli çevrimiçi hizmetleri hedef almaktadır. Önceki sürümlerde sunulan şablonlar şunları kapsamaktadır:
- Outlook
- Hotmail
- Gmail
- Yahoo
- ProtonMail
- iCloud
- GitHub
- Ledger
Araştırmalar, Bluekit’ın etkili bir kurban seçme sistemi kullanarak gerçek hedefleri, araştırmacılardan ya da güvenlik tarayıcılarından ayırt ettiğini göstermektedir.
Koruma Yöntemleri ve Çözüm
Bluekit’ın en son sürümündeki anti-analiz sistemleri, saldırganların tespit edilme olasılığını azaltmaya yönelik çeşitli önlemler içermektedir:
- Rastgele CSS filtreleri ile ekran görüntüsü tabanlı tespitleri aşma.
- Büyük (1 MB’den fazla) ve sık sık değişen obfuscation (karartma) içeren JavaScript paketleri.
- Cloudflare veya hedef marka ile taklit edilmiş özel CAPTCHA.
- Tarayıcı parmak izleme (RAM, CPU çekirdekleri, ekran çözünürlüğü, dil, headless tarayıcı tespiti, anti-parmak izi uzantıları).
- WebRTC tabanlı IP uyuşmazlığı tespiti, proxy veya VPN arkasındaki kullanıcıları tanımak için.
Bu tespit araçları sayesinde, kuruluşların daha etkili koruma sağlaması mümkün olmaktadır.
Sonuç
Bluekit saldırıları giderek daha karmaşık hale gelirken, organizasyonların bu tür tehditlere karşı önlemler alması kaçınılmaz bir gereklilik haline gelmiştir. Gereklilikler şunlardır:
- Güncellemelerinizi düzenli olarak yapın.
- Şüpheli etkinlikleri izleyin ve yolları kapatın.
- Eğitim düzenleyerek çalışanları bilgilendirin.
Bu adımlarla, siber güvenlik risklerini minimize etmek ve olası saldırılardan korunmak mümkündür.
