Office365 Oturum Açma Kimlik Bilgilerini Çalmayı Amaçlayan Yeni Sesli Mesaj Kimlik Avı Saldırısı

Son zamanlarda, tehdit aktörleri Outlook kimlik bilgilerini ve Microsoft Office 365'te oturum açma kimlik bilgilerini çalmak amacıyla yeni bir sesli posta kimlik avı kampanyası başlattı.

ABD'de bu kampanyayla birlikte hedeflenen sektörler ve kuruluşlar şunlardır:

• Askeriye
• Güvenlik yazılımı
• Üretim tedarik zinciri
• Sağlık
• İlaç

Devam eden bu kötü amaçlı kampanyanın amacı, kurbanları, bilgisayar korsanları tarafından kurbanlarını cezbetmek için kullanılan sahte sesli posta bildirimleri yoluyla kötü amaçlı bir HTML eki açmaya teşvik etmektir. Araştırmacılar söyledi.

Kötü Amaçlı Kampanya

Yakın zamanda bulunan kampanyanın TTP'leri ile 2020 ortası zaman diliminde analiz edilen TTP'ler arasında bazı benzerlikler var. İletişimlerinin, gönderenin adresini taklit ederek yönlendirilmesini sağlamak için, tehdit aktörleri Japonya'daki e-posta hizmetlerini kullanır.

E-postalar, hedeflemeye çalıştığınız kuruluşa ait bir adresten geliyormuş gibi görünür.

Burada, tehdit aktörleri tarafından kullanılan e-posta, adlandırma kuralında bir müzik notası karakterinin kullanılması nedeniyle ses klibi gibi görünen bir ek içerir.

Kimlik avı sitesi aslında dosyada bulunan gizlenmiş JavaScript kodunun içinde gizlidir. Site, hedeflenen kuruluşun meşru bir alt etki alanıymış gibi görünmek için, URL biçimi, hedeflenen şirketin etki alanına dayalı bir derleme yöntemi izler.

Bu yeniden yönlendirme sırasında, kurban bir CAPTCHA doğrulama sayfasına yönlendirilir. Şüpheli etkinliklerin kimlik avı önleme araçları tarafından tespit edilmesini önlemek ve kurbana yanlış bir meşruiyet duygusu vermek için bu kontrol, şüpheli etkinliğin tanımlanmamasını sağlamayı amaçlamaktadır.

Yukarıdaki ölçütleri geçtikten sonra, kullanıcı orijinal gibi görünen bir kimlik avı sayfasına yönlendirilir ve ardından Microsoft Office 365 kimlik bilgilerini çalar.

Kullanılan Etki Alanları

Aşağıda tehdit aktörleri tarafından kullanılan tüm alanlardan bahsettik:

briccorp[.]com
bajafulfillrnent[.]com
bpirninerals[.]com
lovitafood-tw[.]com
dorrngroup[.]com
lacotechs[.]com
brenthavenhg[.]com
spasfetech[.]com
mordematx[.]com
antarnex[.]com

Öneriler

Sonuç olarak, kullanıcılar kullanıcı adlarını ve şifrelerini doldurmadan ve göndermeden önce her zaman doğru giriş portalında olduklarından emin olmalıdır.

Çoğu işletmede, alıcıların hesaplarına giriş yapması gibi standart bir uygulama vardır. Bu nedenle, sesli mesajı duymak için bir kez daha oturum açmalarını isteyen bir istek şüpheli görünebilir.

Sesli mesaj temalı dolandırıcılıkları gizlemek için kimlik avının bir parçası olarak HTML eklerini kullanmak yeni değildir. En azından 2019'dan beri oluyor ve özellikle çalışanlar e-postayı ele alırken dikkatsiz olduklarında hala oldukça etkili.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.