Siber Muhbir

Cisco Talos araştırmacısı Craig Jackson geçen hafta yaptığı açıklamada, "DDP sitelerinde kimlik avı tuzakları barındırmak, başarılı bir kimlik avı saldırısı olasılığını artırır, çünkü bu siteler genellikle olumlu bir üne sahiptir, web filtresi engelleme listelerinde görünme olasılığı düşüktür ve onları tanıdık veya meşru olarak tanıyan kullanıcılara yanlış bir güvenlik duygusu aşılayabilir" dedi.

Saldırganlar geçmişte kimlik avı belgelerini barındırmak için Google Drive, OneDrive, Dropbox, SharePoint, DocuSign ve Oneflow gibi popüler bulut tabanlı hizmetleri kullanmış olsa da, en son gelişme, e-posta güvenlik kontrollerinden kaçınmak için tasarlanmış bir artışa işaret ediyor.

DDP hizmetleri, kullanıcıların PDF dosyalarını tarayıcı tabanlı etkileşimli bir flipbook formatında yüklemesine ve paylaşmasına, herhangi bir kataloğa, broşüre veya dergiye sayfa çevirme animasyonları ve diğer skeuomorfik efektler eklemesine olanak tanır.

Tehdit aktörlerinin, birden fazla hesap oluşturmak ve kötü amaçlı belgeler yayınlamak için bu hizmetler tarafından sunulan ücretsiz katmanı veya ücretsiz deneme süresini kötüye kullandığı tespit edildi.

Saldırganlar, olumlu etki alanı itibarlarından yararlanmanın yanı sıra, DDP sitelerinin geçici dosya barındırmayı kolaylaştırması ve böylece yayınlanan içeriğin önceden tanımlanmış bir sona erme tarihi ve saatinden sonra otomatik olarak kullanılamaz hale gelmesine izin vermesi gerçeğinden yararlanır.

Dahası, Publuu gibi DDP sitelerinde bulunan üretkenlik özellikleri, kimlik avı mesajlarındaki kötü amaçlı bağlantıların çıkarılmasını ve tespit edilmesini önleyerek caydırıcı bir rol oynayabilir.

Cisco Talos tarafından analiz edilen olaylarda, DDP siteleri, genellikle bir kimlik avı e-postasına meşru bir DDP sitesinde barındırılan bir belgeye bağlantı yerleştirilerek ikincil veya ara aşamada saldırı zincirine entegre edilir.

DDP tarafından barındırılan belge, doğrudan sahte dosyada bulunan bir bağlantıya tıklayarak veya otomatik analiz çabalarını engellemek için CAPTCHA'ların çözülmesini gerektiren bir dizi yönlendirme yoluyla harici, düşman tarafından kontrol edilen bir siteye açılan bir ağ geçidi görevi görür.

Son giriş sayfası, Microsoft 365 oturum açma sayfasını taklit eden ve böylece saldırganların kimlik bilgilerini veya oturum belirteçlerini çalmasına izin veren sahte bir sitedir.

Jackson, "DDP siteleri, savunucular için kör bir noktayı temsil edebilir, çünkü eğitimli kullanıcılara aşina değiller ve e-posta ve web içeriği filtreleme kontrolleri tarafından işaretlenmeleri pek olası değil" dedi.

"DDP siteleri, çağdaş kimlik avı korumalarını engellemek isteyen tehdit aktörleri için avantajlar yaratıyor. Meşru kullanıcıları bu sitelere çeken aynı özellikler ve avantajlar, bir kimlik avı saldırısının etkinliğini artırmak için tehdit aktörleri tarafından kötüye kullanılabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.