Mayısta, Google, sekiz yeni üst düzey alan adı başlattı (TLD’ler) dahil .zip ve .mov ve her zaman olduğu gibi, siber suçlular dolandırıcılık faaliyetleri için yeni etki alanlarından nasıl yararlanacakları sorunuyla karşı karşıya kaldı.
Öte yandan güvenlik uzmanları da yeni alan adlarının olası suiistimallerini merak ediyor ve “mr.d0x” takma adıyla tanınan bir araştırmacı bir açıklama yaptı. “tarayıcıda dosya arşivleyici” olarak adlandırılan yeni saldırı tekniği yakında sömürülebilecek olan kimlik avı kampanyaları Büyük bir boyutta.
Siber güvenlik
“Hesap kilitli”, ancak e-posta sahteydi: marka kimlik avı nedir ve nasıl çalışır?
kaydeden Emanuele Capone
19 Nisan 2023
Yeni teknik, basit olduğu kadar ustaca, adından da anlaşılacağı gibi Saldırgan, .ZIP arşivlerini yönetmek için popüler yazılımların arayüzünü taklit eden bir web sayfası oluşturur. WinZIP veya WinRAR gibi.
Bu amaçla, bir saldırgan, görünümü sayfanın nihai görünümünü belirleyen HTML kodu ve CSS stil sayfaları aracılığıyla tanımlanan bir web sayfası geliştirmenin klasik yolunu kullanır. Örnek olarak, uzman mr.d0x, WinRAR yazılımının ve Windows 11 Dosya Gezgini penceresinin, yani her gün bir .ZIP arşivi geldiğinde kullandığımız yazılımın görünümünü yeniden üreten iki sayfa geliştirdi.
Son özellik, sayfanın tarayıcıda görünür olması ve bilgisayarımızdan yerel olarak çalıştırdığımız klasik uygulama olmaması farkıyla aşağıdaki resimde görünendir.
daha sonra fark edeceksin kullanıcıları kandırmak için sunulan bir GUI özelliğiyani “Tara” simgesinin varlığı WinRAR yazılımını taklit eden sayfada yeniden oluşturulan komut çubuğunun içinde. Bu düğme orijinal yazılımda yoktur, ancak şüphelenmeyen kullanıcılar düğmeyi tıklattığında, taramanın ardından hiçbir kötü amaçlı yazılım bulunmadığına dair güvence veren bir mesaj içeren bir pencere görürler.
İnternette Güvenli
Enerji sektörüne yönelik saldırıların kökleri Dark Web’e dayanıyor
kaydeden Pierluigi Paganini
19 Mayıs 2023
Bu noktada oyun biter, arşiv yönetim yazılımını kopyalayan sayfa, saldırganlar tarafından mevcut yeni .zip alanlarından birinde yayınlanır.
Bir şirkete ulaşmak istediğimizi ve çalışanlarına vergi avantajlarından yararlanabileceklerini bildiren bir e-posta göndermek istediğimizi düşünelim. Posta gövdesi içinde mümkündür .zip alanına işaret eden bir bağlantı ekleyin sübvansiyon talep etmek için formları ve talimatları içeren arşiv olarak göstermek.
Bağlantıya tıklandığında, arşivde bulunduğu iddia edilen dosyaların bir listesini yeniden üreten bir .zip alanında geçici olarak oluşturulan sayfa açılır.
Kullanıcılar bu dosyalardan birine tıkladıklarında aslında bir dosyaya tıklamış olurlar. onları bir kimlik avı sayfasına yönlendirebilecek köprü bu, belgeleri görüntülemek için kimlik bilgilerini sağlamalarını veya daha da kötüsü belgeleri doğru şekilde görüntülemek için yazılım indirmelerini ister.
İkinci durumda, gizlenmiş bir uzantıya sahip yürütülebilir bir dosya sunarak ziyaretçileri kandırmak mümkündür. Bir sonraki resimde görüldüğü gibi, yürütülebilir bir dosya gerçekten indirildiğinde, kullanıcılar .pdf dosyası gibi görünen bir dosyayı (örneğin, “fatura.pdf”) tıklar.
Windows Dosya Gezgini arama çubuğunu ilk saldırı vektörü olarak kullanabilen başka bir saldırı modu daha vardır.
Kullanıcının arama çubuğunda “Deductions COMPANYNAME.zip” arşivini aradığını düşünelim. Bu noktada kurbanın bilgisayarında bu isimde bir arşiv bulunamadığı için tarayıcıda daha önce saldırgan tarafından kaydedilmiş olan ve oltalama saldırıları yapmak veya kötü amaçlı yazılım dağıtmak için hazırlanan “DeductionsCOMPANYNAME.zip” alan adı açılacaktır.
“Birkaç kişi Twitter’da Windows Dosya Gezgini arama çubuğunun iyi bir saldırı vektörü olduğuna dikkat çekti. Kullanıcı mrd0x.zip arşivini ararsa ve makinede yoksa, otomatik olarak tarayıcıda açar. Kullanıcı, açıklanan teknik kullanılarak grafiksel olarak oluşturulmuş bir ZIP arşivi görmeyi beklediğinden, bu senaryo için mükemmeldir.” tarafından yayınlanan analizi okur. bay.d0x.
Yakın zamanda piyasaya sürülen TLD alanları, saldırganlara kimlik avı kampanyaları için daha fazla fırsat sunar. Bu saldırı tekniği hakkında bilgi sahibi olmak, onu büyük ölçekte istismar etmeye niyetli suçluların kurbanı olmaktan kaçınmak için çok önemlidir.
“Kuruluşlara .zip ve .mov alan adlarını engellemeleri şiddetle tavsiye edilir. zaten kimlik avı için kullanılıyorlar ve muhtemelen daha fazla kullanılmaya devam edecekler.” diye sözlerini sonlandırıyor uzman.
Siber güvenlik
Kötü amaçlı yazılımı dağıtmak için kullanılan ChatGPT benzeri üretken yapay zeka
kaydeden Pierluigi Paganini
05 Mayıs 2023
Öte yandan güvenlik uzmanları da yeni alan adlarının olası suiistimallerini merak ediyor ve “mr.d0x” takma adıyla tanınan bir araştırmacı bir açıklama yaptı. “tarayıcıda dosya arşivleyici” olarak adlandırılan yeni saldırı tekniği yakında sömürülebilecek olan kimlik avı kampanyaları Büyük bir boyutta.
Siber güvenlik
“Hesap kilitli”, ancak e-posta sahteydi: marka kimlik avı nedir ve nasıl çalışır?
kaydeden Emanuele Capone
19 Nisan 2023
Yeni teknik, basit olduğu kadar ustaca, adından da anlaşılacağı gibi Saldırgan, .ZIP arşivlerini yönetmek için popüler yazılımların arayüzünü taklit eden bir web sayfası oluşturur. WinZIP veya WinRAR gibi.
Bu amaçla, bir saldırgan, görünümü sayfanın nihai görünümünü belirleyen HTML kodu ve CSS stil sayfaları aracılığıyla tanımlanan bir web sayfası geliştirmenin klasik yolunu kullanır. Örnek olarak, uzman mr.d0x, WinRAR yazılımının ve Windows 11 Dosya Gezgini penceresinin, yani her gün bir .ZIP arşivi geldiğinde kullandığımız yazılımın görünümünü yeniden üreten iki sayfa geliştirdi.
Son özellik, sayfanın tarayıcıda görünür olması ve bilgisayarımızdan yerel olarak çalıştırdığımız klasik uygulama olmaması farkıyla aşağıdaki resimde görünendir.
daha sonra fark edeceksin kullanıcıları kandırmak için sunulan bir GUI özelliğiyani “Tara” simgesinin varlığı WinRAR yazılımını taklit eden sayfada yeniden oluşturulan komut çubuğunun içinde. Bu düğme orijinal yazılımda yoktur, ancak şüphelenmeyen kullanıcılar düğmeyi tıklattığında, taramanın ardından hiçbir kötü amaçlı yazılım bulunmadığına dair güvence veren bir mesaj içeren bir pencere görürler.
İnternette Güvenli
Enerji sektörüne yönelik saldırıların kökleri Dark Web’e dayanıyor
kaydeden Pierluigi Paganini
19 Mayıs 2023
Bu noktada oyun biter, arşiv yönetim yazılımını kopyalayan sayfa, saldırganlar tarafından mevcut yeni .zip alanlarından birinde yayınlanır.
Bir şirkete ulaşmak istediğimizi ve çalışanlarına vergi avantajlarından yararlanabileceklerini bildiren bir e-posta göndermek istediğimizi düşünelim. Posta gövdesi içinde mümkündür .zip alanına işaret eden bir bağlantı ekleyin sübvansiyon talep etmek için formları ve talimatları içeren arşiv olarak göstermek.
Bağlantıya tıklandığında, arşivde bulunduğu iddia edilen dosyaların bir listesini yeniden üreten bir .zip alanında geçici olarak oluşturulan sayfa açılır.
Kullanıcılar bu dosyalardan birine tıkladıklarında aslında bir dosyaya tıklamış olurlar. onları bir kimlik avı sayfasına yönlendirebilecek köprü bu, belgeleri görüntülemek için kimlik bilgilerini sağlamalarını veya daha da kötüsü belgeleri doğru şekilde görüntülemek için yazılım indirmelerini ister.
İkinci durumda, gizlenmiş bir uzantıya sahip yürütülebilir bir dosya sunarak ziyaretçileri kandırmak mümkündür. Bir sonraki resimde görüldüğü gibi, yürütülebilir bir dosya gerçekten indirildiğinde, kullanıcılar .pdf dosyası gibi görünen bir dosyayı (örneğin, “fatura.pdf”) tıklar.
Windows Dosya Gezgini arama çubuğunu ilk saldırı vektörü olarak kullanabilen başka bir saldırı modu daha vardır.
Kullanıcının arama çubuğunda “Deductions COMPANYNAME.zip” arşivini aradığını düşünelim. Bu noktada kurbanın bilgisayarında bu isimde bir arşiv bulunamadığı için tarayıcıda daha önce saldırgan tarafından kaydedilmiş olan ve oltalama saldırıları yapmak veya kötü amaçlı yazılım dağıtmak için hazırlanan “DeductionsCOMPANYNAME.zip” alan adı açılacaktır.
“Birkaç kişi Twitter’da Windows Dosya Gezgini arama çubuğunun iyi bir saldırı vektörü olduğuna dikkat çekti. Kullanıcı mrd0x.zip arşivini ararsa ve makinede yoksa, otomatik olarak tarayıcıda açar. Kullanıcı, açıklanan teknik kullanılarak grafiksel olarak oluşturulmuş bir ZIP arşivi görmeyi beklediğinden, bu senaryo için mükemmeldir.” tarafından yayınlanan analizi okur. bay.d0x.
Yakın zamanda piyasaya sürülen TLD alanları, saldırganlara kimlik avı kampanyaları için daha fazla fırsat sunar. Bu saldırı tekniği hakkında bilgi sahibi olmak, onu büyük ölçekte istismar etmeye niyetli suçluların kurbanı olmaktan kaçınmak için çok önemlidir.
“Kuruluşlara .zip ve .mov alan adlarını engellemeleri şiddetle tavsiye edilir. zaten kimlik avı için kullanılıyorlar ve muhtemelen daha fazla kullanılmaya devam edecekler.” diye sözlerini sonlandırıyor uzman.
Siber güvenlik
Kötü amaçlı yazılımı dağıtmak için kullanılan ChatGPT benzeri üretken yapay zeka
kaydeden Pierluigi Paganini
05 Mayıs 2023