Siber güvenlik araştırmacıları, Webflow’un içerik dağıtım ağı (CDN) üzerinde barındırılan sahte CAPTCHA görselleri içeren PDF belgelerini kullanarak Lumma Stealer zararlı yazılımını dağıtan geniş çaplı bir kimlik avı kampanyasını ortaya çıkardı
Netskope Threat Labs, 260 benzersiz alan adının, kurbanları kötü niyetli web sitelerine yönlendiren 5.000 kimlik avı PDF dosyasını barındırdığını tespit etti.
Saldırganların SEO Kullanarak Yönlendirme Yapması
“Saldırgan, kötü amaçlı arama motoru sonuçlarına tıklayarak sayfalara gitmeleri için kurbanları kandırmak amacıyla SEO kullanıyor,” dedi güvenlik araştırmacısı Jan Michael Alcantara paylaştığı raporunda.
“Çoğu kimlik avı sayfası kredi kartı bilgilerini çalmaya odaklanırken, bazı PDF dosyaları sahte CAPTCHA’lar içeriyor. Bunlar, kurbanları kötü niyetli PowerShell komutlarını çalıştırmaya kandırarak nihayetinde Lumma Stealer zararlı yazılımına yol açıyor.”
Kimlik avı kampanyasının 2024’ün ikinci yarısından bu yana 1.150’den fazla kuruluşu ve 7.000’den fazla kullanıcıyı etkilediği tahmin ediliyor. Saldırılar, özellikle Kuzey Amerika, Asya ve Güney Avrupa’daki teknoloji, finans ve üretim sektörlerini hedef alıyor.
Webflow ve Diğer Platformlar Üzerinden Dağıtım
Tespit edilen 260 alan adının büyük bir kısmı Webflow ile ilişkiliyken, bunu GoDaddy, Strikingly, Wix ve Fastly gibi diğer hizmetler takip ediyor.
Saldırganlar ayrıca bazı PDF dosyalarını PDFCOFFEE, PDF4PRO, PDFBean ve Internet Archive gibi meşru çevrimiçi kütüphanelere ve PDF havuzlarına yüklediği gözlemlendi. Böylece, arama motorlarında PDF belgeleri arayan kullanıcılar bu kötü niyetli dosyalara yönlendiriliyor.
Bu PDF’ler, kredi kartı bilgilerini çalmak için kullanılan sahte CAPTCHA görselleri içeriyor. Alternatif olarak, Lumma Stealer’i dağıtan dosyalar, belgeyi indirmek için bir görsel içeriyor. Bu görsele tıklandığında, kurban kötü niyetli bir siteye yönlendiriliyor.
Lumma Stealer’ın Dağıtım Yöntemleri
Bu sahte siteler, kullanıcıyı kandırmak için CAPTCHA doğrulama sayfası gibi davranıyor ve ClickFix tekniğini kullanarak bir MSHTA komutunu çalıştırmaya teşvik ediyor. Bu komut, PowerShell üzerinden Lumma Stealer zararlı yazılımını çalıştırıyor.
Son haftalarda Lumma Stealer, Roblox oyunları ve Windows için kırılmış Total Commander yazılımı gibi başka yöntemlerle de gizlenerek dağıtıldı. Bu kötü amaçlı yazılımın, büyük olasılıkla daha önce ele geçirilmiş hesaplardan yüklenen YouTube videoları aracılığıyla kullanıcılara ulaştırıldığı tespit edildi.
“Zararlı bağlantılar ve enfekte dosyalar genellikle YouTube videoları, yorumlar veya açıklamalarda gizleniyor,” dedi Silent Push. “Özellikle indirme veya bağlantıya tıklama yönünde bir çağrı yapıldığında, doğrulanmamış kaynaklara karşı dikkatli olmak ve şüpheyle yaklaşmak, bu tehditlere karşı korunmaya yardımcı olabilir.”
Siber güvenlik şirketi ayrıca, Lumma Stealer günlüklerinin, Aralık 2024’ün sonlarında faaliyete geçen Leaky[.]pro adlı yeni bir hacker forumunda ücretsiz olarak paylaşıldığını tespit etti.
Lumma Stealer ve SOCKS5 Geri Bağlantısı
Lumma Stealer, kötü amaçlı yazılım hizmeti (MaaS) modeliyle satılan, ele geçirilen Windows cihazlarından geniş çapta bilgi toplayabilen tam özellikli bir suç yazılımı çözümüdür. 2024’ün başlarında, yazılımın GhostSocks adlı Golang tabanlı bir proxy zararlı yazılımıyla entegre edildiği duyurulmuştu.
“Mevcut Lumma bulaşmalarına veya herhangi bir zararlı yazılıma SOCKS5 geri bağlantı özelliği eklemek, tehdit aktörleri için son derece kârlıdır,” dedi Infrawatch
“Kurbanların internet bağlantılarından faydalanan saldırganlar, coğrafi kısıtlamaları ve özellikle finansal kuruluşlar gibi yüksek değerli hedefler tarafından uygulanan IP tabanlı güvenlik kontrollerini atlatabilir. Bu özellik, bilgi çalan zararlı yazılım günlüklerinden elde edilen kimlik bilgilerini kullanarak yetkisiz erişim girişimlerinin başarılı olma olasılığını önemli ölçüde artırır ve Lumma bulaşmalarının sömürü sonrası değerini yükseltir.
Yeni Kimlik Avı Yöntemi: Unicode Gizleme Tekniği
Bu açıklamalar, Vidar ve Atomic macOS Stealer (AMOS) gibi bilgi çalan zararlı yazılımların, DeepSeek adlı yapay zeka sohbet botu gibi yemler kullanılarak ClickFix yöntemiyle dağıtıldığına dair raporlarla aynı zamana denk geliyor.
Kimlik avı saldırılarının, Ekim 2024’te ilk kez belgelenen bir teknik olan görünmez Unicode karakterlerini ikili değerlere dönüştüren bir JavaScript gizleme yöntemi kullandığı da tespit edildi.
Bu yöntemde, Hangul yarım genişlik (U+FFA0) ve Hangul tam genişlik (U+3164) karakterleri sırasıyla 0 ve 1 ikili değerlerini temsil etmek için kullanılıyor. Böylece, JavaScript kodundaki her ASCII karakter, karşılık gelen Hangul karakterlerine çevriliyor.
“Saldırılar son derece kişiselleştirilmişti ve kamuya açık olmayan bilgiler içeriyordu,” dedi Juniper Threat Labs. “Ayrıca, JavaScript kodu analiz edilmesi durumunda bir hata ayıklama noktası çağırmaya, gecikmeyi algılamaya ve ardından saldırıyı iptal ederek kurbanı güvenli bir siteye yönlendirmeye çalışıyordu.”
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment