Kaspersky, geleneksel güvenlik kontrollerini aşmayı hedefleyen ve kodsuz geliştirme platformu Bubble’ı istismar eden yeni bir oltalama (phishing) yöntemi tespit etti. Kullanıcıların herhangi bir kod yazmadan görsel bir arayüz üzerinden web ve mobil uygulamalar geliştirmesine olanak tanıyan Bubble platformu, saldırganlar tarafından kötüye kullanılarak oltalama kampanyalarının etkinliğini artırmak için yeniden kurgulanıyor.
Geleneksel kimlik avı saldırıları çoğunlukla zararlı bağlantılar veya kolayca tespit edilebilen yönlendirme yöntemlerine dayanırken, modern güvenlik sistemleri bu tür girişimleri genellikle hızlıca engelleyebiliyor. Ancak saldırganlar artık Bubble’ın kodsuz geliştirme ortamını kullanarak, güvenilir altyapı ve *.bubble.io gibi meşru alan adları üzerinde barındırılan ara web uygulamaları oluşturuyor. Bu yaklaşım, saldırıların güvenilirliğini artırırken güvenlik filtrelerini de aşmalarını kolaylaştırıyor. Söz konusu uygulamalar, görünürde masum olan ancak kullanıcıyı fark ettirmeden kimlik bilgilerini ele geçirmeye yönelik zararlı sayfalara yönlendiren gizli birer aracı (redirector) olarak çalışıyor.
Gözlemlenen kampanyada kullanıcılar, nihai olarak Microsoft giriş sayfasının son oldukça inandırıcı bir taklidine yönlendirildi. Bu sahte sayfa, kötü niyetli içeriği daha da gizlemek amacıyla Cloudflare doğrulama katmanıyla korunuyordu.
Kurumsal Kimlik Bilgilerini Ele Geçirmeye Yönelik Sahte Formlar
Bu tekniğin, kapsamlı “Hizmet Olarak Kimlik Avı” (PhaaS) platformlarına ve oltalama kitlerine entegre edildiği düşünülüyor. Bu kitler; oturum çerezlerinin gerçek zamanlı olarak ele geçirilmesi, Google Tasks ve Google Forms gibi yasal servisler aracılığıyla saldırıların yürütülmesi ve çok faktörlü kimlik doğrulamayı (MFA) bypass edebilen “Ortadaki Saldırgan” (AiTM) eylemleri gibi gelişmiş imkanlar sunuyor. Ayrıca, yapay zeka yardımıyla kimlik avı e-postaları oluşturma, güvenlik tarayıcılarından kaçmak için coğrafi filtreleme ve tespit önleme mekanizmaları kullanma gibi özelliklere sahip olan bu sistemler, kara listeye alınmamak için genellikle AWS gibi saygın bulut servislerinde barındırılıyor.
Kaspersky Anti-Spam Uzmanı Roman Dedenok konuyla ilgili şu değerlendirmede bulundu:
“Bubble gibi meşru platformların bu şekilde kullanılması, güven istismarını yeni bir boyuta taşıyor. Bu durum, hem kullanıcıların hem de otomatik sistemlerin güvenli içerik ile zararlı içeriği birbirinden ayırt etmesini zorlaştırıyor. Dolayısıyla kimlik bilgilerinin çalınması, yetkisiz erişim ve olası veri ihlali riskleri önemli ölçüde artıyor.”
Kaspersky, bu tür tehditlere karşı kurumlara şu önlemleri öneriyor:
- Çalışanların, kurumsal kimlik bilgilerini yalnızca doğrulanmış ve resmi platformlara girmeleri gerektiği konusunda bilinçlendirilmesi
- Bilinen ve şüpheli oltalama hedeflerine erişimi engelleyecek güçlü güvenlik çözümlerinin devreye alınması
- E-posta ağ geçidinde gelişmiş anti-phishing teknolojilerinin kullanılarak zararlı mesajlara maruziyetin azaltılması
- Saldırganların gelişen yöntemlerine karşı güncel kalınması ve tehdit istihbaratının güvenlik operasyonlarına entegre edilmesi
Kaynak : 