Microsoft Ve Gmail E-posta Hizmetlerinin Kurumsal Kullanıcılarını Hedefleyen AiTM Kimlik Avı Saldırısı

Google News Abone Ol

Microsoft Ve Gmail E-posta Hizmetlerinin Kurumsal Kullanıcılarını Hedefleyen AiTM Kimlik Avı Saldırısı

E-posta hizmetleri gibi Microsoft ürünlerinin kurumsal kullanıcılarını hedefleyen AiTM tabanlı bir kimlik avı kampanyası. Google Workspace kullanıcıları bile büyük ölçekli bir kampanyanın arkasındaki tehdit aktörleri tarafından da hedef alınmıştır.

AiTM kimlik avı saldırıları, tehdit aktörlerinin hedef kullanıcının hedef web sitesi ile kimlik avı web sitesi arasına bir proxy sunucusu yerleştirdiği saldırıları ifade eder.

Proxy sunucusu, hedef web sitesi ile saldırganlar tarafından kontrol edilen etki alanı arasına yerleştirilir. Saldırganlar, hedef ile ilişkili şifreyi ve çerezleri yakalamalarına ve verilerine erişmelerine olanak tanıyan proxy sunucusu üzerinden trafiğe erişebilir.

Zscaler araştırmacıları Sudeep Singh ve Jagadeeswar Ramanukolanu şunları söyledi:

"Bu kampanyanın özel odak noktası, Google Workspace'i birincil iletişim aracı olarak kullanan çok uluslu şirketlerin yöneticilerini ve diğer üst düzey üyelerini hedeflemekti."

AiTM kimlik avı saldırılarının, kullanıcıların Microsoft kimlik bilgilerini sifonlamak ve hatta çok faktörlü kimlik doğrulamasını atlamak için tasarlanmış bir sosyal mühendislik kampanyasınınkine benzer bir modus operandi'nin ardından Temmuz 2022'nin ortalarında başladığı söyleniyor.

Saldırı Zinciri

Kullanıcıya kötü amaçlı bir bağlantı içeren bir e-posta gönderilir ve bu da saldırıyı başlatır. Bu bağlantı tarafından Open Redirect'in yardımıyla atılan çoklu yeniden yönlendirme adımlarının bir sonucu olarak, kullanıcı, saldırgan tarafından kontrol edilen ve açık yönlendirme sayfalarını kullanan son bir Gmail kimlik avı alanına yönlendirilir.

Bununla birlikte, istemcinin gerçekten web sayfasına göz atan gerçek bir kullanıcı olduğundan ve otomatik olarak analiz yapan bir sistem olmadığından emin olmak için sunucunun gerçek kimlik avı sayfasını istemciye sunmadan önce attığı ek bir adım vardır.

Microsoft Ve Gmail E-posta Hizmetlerinin Kurumsal Kullanıcılarını Hedefleyen AiTM Kimlik Avı Saldırısı

Saldırı zinciri, hepsi birbirine bağlı birkaç bileşenden oluşur. Saldırı vektörü söz konusu olduğunda, bu kampanyada kötü amaçlı kodu yaymak için kullanılan gömülü bağlantılar içeren e-postalar kullanılmıştır.

Microsoft Ve Gmail E-posta Hizmetlerinin Kurumsal Kullanıcılarını Hedefleyen AiTM Kimlik Avı Saldırısı

Bu e-postaların kuruluşun genel müdürlerine ve üst düzey üyelerine ve ayrıca hedeflenen diğer kişilere gönderilmesi özellikle amaçlanmıştır.

Google'dan gelen ve şifre süre sonu hatırlatıcısı sunan ve alıcının hesabın genişletilebilmesi için bir bağlantıyı tıklamasını isteyen bir e-posta gibi görünüyordu.

Gmail veya Google Suite'in kullandığı çok faktörlü kimlik doğrulama işlemi söz konusu olduğunda, AiTM kimlik avı kiti işlemi başarıyla aktarabilir ve durdurabilir.

Microsoft Ve Gmail E-posta Hizmetlerinin Kurumsal Kullanıcılarını Hedefleyen AiTM Kimlik Avı Saldırısı

Açık yönlendirmelerin kötüye kullanılmasının yanı sıra, virüslü web sitelerine dayanan saldırının ek bir çeşidi vardır.

Yeniden yönlendirme işleminin bir sonraki aşamasında, ana bilgisayar kurbanın e-posta adresini ve sonraki aşama yeniden yönlendirme URL'sinin Base64 kodlu bir sürümünü gönderir. Bu ara yönlendiriciyi tıkladığınızda, Gmail'de JavaScript kodu kullanılarak oluşturulmuş bir kimlik avı sayfasına yönlendirilirsiniz.

Çok faktörlü kimlik doğrulamayla bile, tek başına kullanıldığında karmaşık kimlik avı saldırılarını önleyemeyeceği açıktır. Kullanıcıların kişisel verilerini veya kimlik bilgilerini girmeden önce URL'leri iyice incelemeleri ve bilinmeyen ekleri açmaktan kaçınmaları gerekir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url