Aylardır süren EvilTokens kampanyası, ABD ve Avrupa’daki işletmeleri hedef alarak yeni bir e-posta güvenliği açığını ortaya çıkardı. Bu “hayalet phishing” tekniği, kötü niyetli sayfanın kurbanın tarayıcısında görünmeden şifrelenmiş bir şekilde saklanmasını sağlıyor.
Görünüşte Güvenli Bir E-posta, Tarayıcı Farklı Bir Gerçek Sunuyor
Son EvilTokens saldırısı, phishing bağlantılarının ilk inceleme sırasında zararsız görünebileceğini ve yine de Microsoft 365 hesaplarının ele geçirilmesine yol açabileceğini gösteriyor. Bu kit, kurbanların geçerli bir Microsoft giriş akışını tamamlayarak hesaplarına erişim yetkisi vermelerini sağlamak için Microsoft Aygıt Kodu Phishing yöntemini kullanıyor.
Gerçek saldırı, sayfa tarayıcıda açılana kadar gizli kalıyor. HTML, AES-GCM ile şifrelenmiştir ve sadece tarayıcı şifre çözüldüğünde görünür hale geliyor. Bu durum, statik URL kontrollerinin ve ağ düzeyindeki önlemlerin, çalışanların gördüğü içerikleri göremeden ilk yanıtı yakalamasına neden olabilir.
Bu görünürlük açığı şu sonuçlara yol açabilir:
- Microsoft 365 hesap ele geçirilmesine daha uzun süre maruz kalma
- Kapsama ve yanıt kararlarında gecikmeler
- Kurumsal e-posta, dosyalar ve bulut hizmetlerine izinsiz erişim
- Üst düzey analistlere belirsiz uyarıların artışı
- Daha yüksek soruşturma yükü ve operasyonel maliyetler
- İlgili altyapıyı engellemeye yönelik eksik kanıtlar
Hayalet Phishing Nerelerde Etkili Oluyor?
ANY.RUN’un Tehdit İstihbaratı, son EvilTokens saldırılarının ABD ve Avrupa’da teknoloji, imalat, eğitim, bankacılık, danışmanlık, finans hizmetleri ve yönetilen güvenlik hizmet sağlayıcılarını hedef aldığını gösteriyor. Verilere göre, danışmanlıkta phishing maruziyeti %75.6, finans hizmetlerinde %72.8, imalatta %71.9, teknolojide %67.9, bankacılıkta %66.7 ve MSSP’lerde %66.1 oranına ulaşmıştır.
Bu durum, gizli phishing’in bu sektörler için özellikle tehlikeli hale gelmesine neden olmaktadır. Bir ele geçirilmiş Microsoft 365 hesabı, hassas verilere maruz kalmaya, iş e-posta sahtekarlığına ve masraflı olay müdahalelerine yol açabilir.
Hayalet Phishing’i Görünür Hale Getirmek
Hayalet phishing’i etkili bir şekilde ortaya çıkarmanın yolu, şüpheli bağlantıları tarayıcıda veri incelemesine olanak tanıyan bir sandbox içinde açmaktır. ANY.RUN’un Etkileşimli Sandbox’ında, analistler şifrelenmiş AES-GCM yanıtının ötesine geçerek sayfanın şifresinin çözüldükten sonra ne olacağını görebilirler.
- DOM anlık görüntüleri, gizli sayfanın ne zaman değiştiğini ve kullanıcı kodunun ne zaman belirdiğini gösterir.
- HTTP istekleri, cihaz kodu akışının arka uç iletişimini açığa çıkarır.
- URL detayları, son nokta ve tetiklenen dedektör imzalarını ortaya çıkartır.
- Göstergeler, daha fazla avlanma için alan adları, uç noktalar, hashler ve altyapıyı sağlar.
Sonuç ve Aksiyon İhtiyacı
Bu tür saldırılara maruz kalan işletmelerin zaman kaybetmeden önlem alması gerekmektedir. Aşağıdaki adımlar atılmalıdır:
- Tüm işletme hesaplarını güncelleyin ve gerekli güvenlik önlemlerini alın.
- İzinsiz etkinlikleri tespit etmek için e-posta güvenliği kontrollerini artırın.
- Önemli bağlantıları tarayıcıda açmadan önce sandbox ortamında test edin.
Gizli phishing’i durdurmak için internette daha fazla görünürlük sağlanmalı ve bir kompakt olay müdahale planı oluşturulmalıdır.


