Siber güvenlik araştırmacıları, oturum açma kimlik bilgilerini şifrelemeyle korunsa bile çalmak için nadiren kullanılan sinsi bir teknikle karşı karşıya olduğumuzu ortaya koydu.
Cofense’nin yeni araştırmasına nazaran, siber hatalılar artık süreksiz lokal içerik görüntülemek için tasarlanmış bir tarayıcı özelliği olan blob URI’lerini kimlik avı sayfaları sunmak için berbata kullanıyor.
Blob URI’leri büsbütün kullanıcının tarayıcısı içinde oluşturulup erişildiği için kimlik avı içeriği halka açık bir sunucuda asla var olmuyor.
Bu durum, en gelişmiş uç nokta müdafaa sistemlerinin bile bunu tespit etmesini son derece zorlaştırıyor.
GİZLİ TEKNİK NASIL İŞLİYOR
Bu kampanyalarda, kimlik avı süreci İnançlı E-posta Ağ Geçitlerini (SEG’ler) basitçe aşan bir e-postayla başlıyor.
Bu e-postalar ekseriyetle legal görünen bir sayfaya temas içeriyor ve ekseriyetle Microsoft’un OneDrive’ı üzere sağlam tesir alanlarında barındırılıyor.
Ancak bu birinci sayfa, kimlik avı içeriğini direkt barındırmıyor. Bunun yerine, bir aracı olarak hareket ediyor ve tehdit aktörü tarafından denetim edilen ve bir blob URI’sine kodlanan bir HTML belgesini sessizce yüklüyor.
Sonuç olarak kurbanın tarayıcısında Microsoft’un oturum açma portalını taklit edecek halde tasarlanmış geçersiz bir oturum açma sayfası oluşturuluyor.
MAĞDURLAR NASIL ETKİLENİYOR VE KORUNMA YOLLARI NELER
Mağdur için hiçbir şey yersiz görünmüyor; garip URL’ler yahut bariz dolandırıcılık belirtileri yok, yalnızca inançlı bir bildirisi görüntülemek yahut bir evraka erişmek için oturum açma istemi geliyor.
Blob URI’leri büsbütün tarayıcının belleğinde çalıştığı ve oturum dışından erişilemediği için klasik güvenlik araçları içeriği tarayamıyor yahut engelleyemiyor.
Girilen kimlik bilgileri sessizce uzaktaki bir tehdit aktörü uç noktasına sızdırılıyor ve kurbanın haberi olmuyor.
Yapay zeka tabanlı güvenlik filtreleri de bu akınları yakalamakta zorlanıyor zira blob URI’leri nadiren makûs maksatlı kullanılıyor.
