BazaCall Kimlik Avı Dolandırıcıları Artık Aldatma İçin Google Formlardan Yararlanıyor

Siber güvenlik firması Abnormal Security, bugün yayınlanan bir raporda, yöntemin "ilk kötü amaçlı e-postaların algılanan gerçekliğini artırma girişimi" olduğunu söyledi.

İlk olarak 2020'nin sonlarında gözlemlenen BazaCall (diğer adıyla BazarCall), meşru abonelik bildirimlerini taklit eden e-posta mesajlarının hedeflere gönderildiği ve onları plana itiraz etmek veya iptal etmek için bir destek masasıyla iletişime geçmeye teşvik ettiği veya 50 ila 500 ABD Doları arasında herhangi bir yerde ücretlendirilme riskiyle karşı karşıya kaldığı bir dizi kimlik avı saldırısını ifade eder.

Saldırgan, yanlış bir aciliyet duygusu uyandırarak, hedefi bir telefon görüşmesi üzerinden uzak masaüstü yazılımı kullanarak uzaktan erişim yetenekleri vermeye ikna eder ve nihayetinde sözde aboneliği iptal etmek için yardım sunma kisvesi altında ana bilgisayarda kalıcılık sağlar.

Kimliğine bürünen popüler hizmetlerden bazıları Netflix, Hulu, Disney+, Masterclass, McAfee, Norton ve GeekSquad'dır.

Anormal Güvenlik tarafından tespit edilen en son saldırı varyantında, Google Formlar kullanılarak oluşturulan bir form, sözde aboneliğin ayrıntılarını paylaşmak için bir kanal olarak kullanılır.

Formda, yanıtın bir kopyasını formu yanıtlayana e-posta ile gönderen yanıt alındılarının etkinleştirildiğini ve böylece saldırganın formu kendisinin doldurması ve yanıtları alması için bir davetiye gönderebileceğini belirtmekte fayda var.

Güvenlik araştırmacısı Mike Britton, "Saldırgan yanıt makbuzu seçeneğini etkinleştirdiğinden, hedef, saldırganın Norton Antivirus yazılımı için bir ödeme onayı gibi görünecek şekilde tasarladığı doldurulmuş formun bir kopyasını alacak" dedi.

Google Formlar'ın kullanımı, yanıtların "forms-receipts-noreply@google[.] adresinden gönderilmesi açısından da akıllıcadır. com", güvenilir bir alan adıdır ve bu nedenle, geçen ay Cisco Talos tarafından ortaya çıkarılan yakın tarihli bir Google Forms kimlik avı kampanyasının kanıtladığı gibi, güvenli e-posta ağ geçitlerini atlama şansı daha yüksektir.

Britton, "Ek olarak, Google Formlar genellikle dinamik olarak oluşturulmuş URL'ler kullanır" diye açıkladı. "Bu URL'lerin sürekli değişen doğası, tehditleri tanımlamak için bilinen kalıplara dayanan statik analiz ve imza tabanlı algılamayı kullanan geleneksel güvenlik önlemlerinden kaçınabilir."

Geçtiğimiz yıl boyunca, Luna Moth (diğer adıyla Silent Ransom Group) adlı bir Conti kıymık grubu ve gasp ekibi, ilk erişim yolu olarak kimlik avını geri çağırmayı benimsedi, kurbanların uç noktalarına sistem yönetimi araçları yükledi ve bunu veri hırsızlığı için diğer araçları dağıtmak için kullandı.

Tehdit Aktörü, İşe Alım Uzmanlarını More_eggs Arka Kapıyla Hedefliyor

Açıklama, Proofpoint'in işe alım görevlilerini doğrudan e-postalarla hedef alan ve sonuçta More_eggs olarak bilinen bir JavaScript arka kapısına yol açan yeni bir kimlik avı kampanyasını ortaya çıkarmasıyla geldi.

Kurumsal güvenlik firması, saldırı dalgasını, meşru mesajlaşma hizmetlerini kötüye kullanma ve nihayetinde More_eggs arka kapıyı teslim etmek için e-posta yoluyla sahte işler sunma konusunda bir geçmişe sahip olan TA4557 olarak izlediği "yetenekli, finansal olarak motive olmuş bir tehdit aktörüne" bağladı.

Proofpoint, "Özellikle yeni doğrudan e-posta tekniğini kullanan saldırı zincirinde, alıcı ilk e-postayı yanıtladığında, aktörün aday özgeçmişi gibi davranan aktör tarafından kontrol edilen bir web sitesine bağlantı veren bir URL ile yanıt verdiği gözlemlendi" dedi.

"Alternatif olarak, aktörün sahte özgeçmiş web sitesini ziyaret etme talimatlarını içeren bir PDF veya Word ekiyle yanıt verdiği gözlemlendi."

More_eggs, hizmet olarak kötü amaçlı yazılım olarak sunulur ve Cobalt Group (diğer adıyla Cobalt Gang), Evilnum ve FIN6 gibi diğer önde gelen siber suçlu grupları tarafından kullanılır. Bu yılın başlarında, eSentire kötü amaçlı yazılımı Montreal ve Bükreş'ten iki operatöre bağladı.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği