Giriş
Phishing saldırıları, kullanıcıların hassas bilgilerini çalmak için yaygın olarak kullanılan bir siber tehdit türüdür. Son dönemde, kötü niyetli aktörlerin Microsoft hesaplarına yönelik saldırılarında, iyi bilinen Bubble platformunun istismar edildiği ortaya çıkmıştır.
Saldırı Nasıl Çalışıyor?
Kötü niyetli aktörler, Bubble adlı kod yazmadan uygulama oluşturma platformunu kullanarak zarar verici web uygulamaları üretiyor. Bu platformda barındırılan uygulamalar, e-posta güvenlik çözümleri tarafından tehdit olarak işaretlenmediğinden, kullanıcılar bu sayfalara kolaylıkla erişim sağlayabiliyor.
Araştırmacılar, kötü niyetli aktörlerin bu yöntemi kullanarak kullanıcıları sahte bir Microsoft giriş sayfasına yönlendirdiğini buldular. Bu sahte sayfa genellikle Cloudflare kontrolü altında gizleniyor, bu da kötü niyetli eylemleri daha da karmaşık hale getiriyor.
Etkilenen Sistemler
Kullanıcıların sahte web sayfalarına girdikleri tüm kimlik bilgileri, bu phishing saldırısını gerçekleştiren aktörler tarafından toplanıyor. Çalınan bilgiler, kullanıcıların Microsoft 365 hesaplarına erişim sağlamak için kullanılabiliyor. Bu hesaplar arasında e-posta, takvim ve diğer hassas veriler yer alıyor.
Patojenin Özellikleri
Bubble platformu, kullanıcıların istedikleri uygulamayı tanımlamasına olanak tanıyarak arka uç mantığını ve ön uç tasarımını otomatik olarak oluşturuyor. Sonuç olarak oluşan uygulamalar, *.bubble.io üzerinde barındırılıyor ve bu alan adı genellikle güvenilir olarak kabul ediliyor.
Kötü niyetli oyuncular, bu durumu kullanarak karmaşık JavaScript paketleri ve izole Shadow DOM yapıları içeren Bubble uygulamaları oluşturuyor. Statik ve otomatik analiz araçları tarafından genellikle zararlı olarak sınıflandırılmayan bu yapılar, güvenlik taramalarını atlatabiliyor.
Çözüm ve Korunma
Kaspersky araştırmacıları, AI tabanlı uygulama oluşturucuların kötüye kullanılmasıyla phishing kampanyalarında gizlenmenin muhtemelen daha yaygın hale geleceğini tahmin ediyor. Bu tehditler, zaten mevcut olan phishing-as-a-service (PhaaS) platformları tarafından entegre edilerek daha da yaygınlaşacaktır. Bu platformlar, oturum çerezi çalınması ve iki faktörlü kimlik doğrulamasını (2FA) atlama gibi hizmetler sunmaktadır.
Okuyucuların kendilerini bu tür saldırılara karşı korumak için aşağıdaki adımları atması önerilir:
- Microsoft 365 hesaplarında güçlü ve benzersiz şifreler kullanın.
- İki faktörlü kimlik doğrulamasını etkinleştirin.
- Sıklıkla hesap hareketlerinizi kontrol edin.
- Tüm yazılımları ve uygulamaları güncel tutun.
- Güvenilir olmayan bağlantılara tıklamaktan kaçının.
Sonuç
Bu tür siber tehditler, kişisel ve kurumsal verileri koruma adına ciddi tehlikeler oluşturmaktadır. Kullanıcıların dikkatli olması ve yukarıda belirtilen önlemleri alması, siber güvenliklerini artıracaktır.
