Siber güvenlik uzmanları, şifrelenmiş oturum açma kimlik bilgilerini koruma çabalarına rağmen, siber suçluların nadiren kullanılan bir teknikle bu bilgileri çalma hedefiyle hareket ettiklerini ortaya koydu.
Cofense’nin yayınladığı yeni bir araştırmada, siber suçluların blob URI’lerini kullanarak kimlik avı sayfaları oluşturmayı tercih ettiği belirtildi. Blob URI’leri, geçici yerel içerikleri görüntülemek için tasarlanmış bir tarayıcı özelliği olup, kimlik avı içeriği asla kamuya açık bir sunucuda depolanmıyor.
Bu durum, en gelişmiş uç nokta koruma sistemlerinin bile bu tür tehditleri tespit etmesini son derece zor hale getiriyor.
GİZLİ TEKNİK NASIL İŞLİYOR
Söz konusu kampanyalarda, kimlik avı süreci, Güvenli E-posta Ağ Geçitleri (SEG’ler) aracılığıyla başlatılan e-postalarla başlıyor. Bu tür e-postalar genellikle meşru bir sayfa bağlantısı içeriyor ve çoğu zaman Microsoft’un OneDrive gibi tanınmış alan adlarında barındırılıyor.
Ancak ilk sayfa, kimlik avı içeriğini doğrudan barındırmıyor. Bunun yerine, bir aracı görevi üstlenerek, tehdit aktörü tarafından kontrol edilen ve blob URI’sine kodlanmış bir HTML dosyasını sessiz bir şekilde yüklüyor.
Sonuç olarak, kurbanın tarayıcısında Microsoft’un oturum açma portalını taklit eden sahte bir oturum açma sayfası oluşturuluyor.
MAĞDURLAR NASIL ETKİLENİYOR VE KORUNMA YOLLARI NELER
Mağdurlar için her şey normal görünüyor; garip URL’ler ya da belirgin dolandırıcılık belirtileri olmaksızın, sadece güvenli bir mesaj görüntülemek veya bir belgeye erişmek için oturum açma talebi geliyor.
Kullanıcılar “Oturum aç” butonuna tıkladıklarında, sayfa başka bir saldırgan tarafından yönetilen HTML dosyasına yönlendiriliyor ve burada sahte oturum açma sayfasını görüntüleyen bir blob URI’si üretiliyor.
Blob URI’leri tarayıcının belleğinde çalıştığı için geleneksel güvenlik araçları bu içeriği tarayıp engelleyemiyor. Girilen kimlik bilgileri, sessiz bir şekilde uzaktaki bir tehdit aktörüne sızdırılırken, mağdurların bu durumdan haberi olmuyor.
Ayrıca, yapay zeka tabanlı güvenlik filtreleri de bu tür saldırıları tespit etmede zorluk yaşıyor çünkü blob URI’leri genellikle kötü niyetli amaçlarla kullanılmıyor.
