Yeni Siber Saldırı Aracı ile Gerçek Zamanlı Kimlik Avı Sayfaları Oluşturulabiliyor
Yeni “LogoKit” kimlik avı aracı, geçtiğimiz ay 700’den fazla benzersiz alan adında tespit edildi.
Bir siber suç grubu, hedeflenen kurbanlara uyum sağlamak için gerçek zamanlı olarak bir kimlik avı sayfasındaki logoları ve metni değiştiren yeni bir kimlik avı aracı geliştirdi. LogoKit adlı kimlik avı aracının gelişimini takip eden siber tehdit istihbarat firması RiskIQ’ya göre araç, bir süredir saldırılar için kullanılıyor.
Şirket, LogoKit’in geçen hafta 300’den fazla etki alanına ve geçtiğimiz ay 700’den fazla siteye kurulumlarını tespit ettiklerini söyledi. Güvenlik firması, LogoKit’in kullanıcılara e-posta adreslerini içeren kimlik avı bağlantıları göndererek çalıştığını söyledi.
RiskIQ siber güvenlik araştırmacısı Adam Castleman Çarşamba günkü bir raporda, “Bir kurban URL’ye tıkladığında LogoKit, şirket logosunu Clearbit veya Google’ın favicon veritabanı gibi bir üçüncü taraf hizmetinden alıyor” ifadelerini kullandı.
“Kurban e-postası, e-posta veya kullanıcı adı alanına otomatik olarak doldurularak, kurbanları daha önce siteye giriş yapmış gibi hissetmelerini sağlıyor,” diye ekledi.
“Bir kurban şifresini girerse, LogoKit bir AJAX isteği gerçekleştirir, hedefin e-postasını ve şifresini dış bir kaynağa gönderir ve son olarak kullanıcıyı gerçek web sitesine yönlendirir.”
LogoKit, diğer kimlik avı araçlarına göre önemli avantajlara sahip
Castleman, LogoKit’in bunu yalnızca herhangi bir genel oturum açma formuna veya karmaşık HTML belgelerine eklenebilen “yerleştirilebilir bir JavaScript fonksiyonuyla gerçekleştirdiğini belirtti.
Bu da, çoğu şirketin kimlik doğrulama sayfalarını taklit eden ve tıpa tıp aynı şablonlara ihtiyaç duyan standart kimlik avı araçlarından farklı bir yöntem.
Kitin modülerliği, LogoKit operatörlerinin çok az özelleştirme çalışmasıyla istedikleri herhangi bir şirketi hedeflemelerine ve çok çeşitli hedeflere haftada onlarca hatta yüzlerce saldırı düzenlemesine olanak tanıyor.
RiskIQ, geçtiğimiz ay boyunca LogoKit’in genel oturum açma portallarından sahte SharePoint portallarına, Adobe Document Cloud, OneDrive, Office 365 ve çeşitli kripto para birimi borsalarına kadar çeşitli hizmetler için oturum açma sayfalarını taklit etmek ve oluşturmak için kullanıldığını söyledi.
LogoKit çok küçük olduğu için, diğer kimlik avı araçlarının ihtiyaç duyduğu gibi, her zaman kendi karmaşık sunucu kurulumuna ihtiyaç duymuyor. Kit, saldırıya uğramış sitelerde veya LogoKit operatörlerinin hedeflemek istediği şirketler için yasal sayfalarda barındırılabiliyor.
Ayrıca, LogoKit bir JavaScript dosya koleksiyonu olduğundan, kaynakları Firebase, GitHub, Oracle Cloud gibi genel güvenilir hizmetlerde de barındırılabiliyor. Bunların çoğu kurumsal ortamlarda beyaz listeye eklenen hizmetler ve bir çalışan LogoKit’i bu hizmetler üzerinden açtığı zaman küçük uyarılar üretir.
RiskIQ, güvenlik firmasının başarılı bir kimlik avı şansını artırmaya yardımcı olduğuna inandığı kitin basitliği nedeniyle bu yeni tehdidi yakından takip ettiğini söyledi.
Kaynak: zdnet.com
Bunlar da İlginizi Çekebilir
Apple Zero-Day Zafiyeti İçin Güncelleme Yayınladı
Linux Sistemlerde Kritik Sudo Zafiyeti Keşfedildi
Koç Grubu Uzaktan Çalışmayı Sevdi, Sürekli Hale Geliyor