Saldırganlar, yeni bir kimlik avı kampanyasında TikTok for Business hesaplarını hedef alıyor.

Push Security’nin aktardığına göre kampanya, kurbanların sahte bir bağlantıya tıklamasıyla başlıyor. Bu bağlantı kullanıcıyı ya TikTok for Business’ı taklit eden bir sayfaya ya da Google Careers benzeri sahte bir işe alım sayfasına yönlendiriyor. Bazı senaryolarda kurbana sözde iş fırsatı için görüşme planlama seçeneği de sunuluyor. Amaç, kullanıcının güvenini kazanıp giriş bilgilerini ele geçirmek.

Kampanyanın dikkat çeken yönlerinden biri, saldırganların sayfalarında Cloudflare Turnstile doğrulamasını kullanması. Bu yöntem, güvenlik araçlarının, botların ve otomatik tarama sistemlerinin zararlı içeriği kolayca analiz etmesini zorlaştırıyor. Kullanıcı doğrulamayı geçtikten sonra karşısına, gerçek giriş ekranına oldukça benzeyen bir AitM (adversary-in-the-middle) phishing sayfası çıkıyor. Bu sayfa üzerinden girilen kullanıcı adı, parola ve oturum bilgileri doğrudan saldırganların eline geçebiliyor.

Ele geçirilen işletme tipi sosyal medya hesapları, saldırganlar açısından oldukça değerli. Çünkü bu hesaplar daha sonra sahte reklam kampanyaları yürütmek, zararlı bağlantılar yaymak, kötü amaçlı yazılım dağıtmak ya da mevcut hesabın güvenilirliğini kullanarak daha fazla kişiyi kandırmak için kullanılabiliyor. Push Security, TikTok platformunun geçmişte de Vidar, StealC ve Aura Stealer gibi zararlı yazılımların dağıtımında sosyal mühendislik içerikleriyle kötüye kullanıldığını belirtiyor.

Haberde ayrıca farklı bir kampanyaya da dikkat çekiliyor. Bu ikinci saldırı zincirinde hedeflere, özellikle Venezuela’daki kullanıcılara, fatura, makbuz veya fiyat teklifi gibi gösterilen SVG uzantılı dosyalar gönderiliyor. WatchGuard’a göre bu SVG dosyaları açıldığında arka planda zararlı bir bağlantıyla iletişim kuruluyor ve cihaz üzerine kötü amaçlı yazılım indiriliyor. İndirilen zararlının, daha önce BianLian ransomware ile ilişkilendirilen örneklerle benzerlik taşıyan Go tabanlı bir malware olduğu belirtiliyor.

Özetle bu iki örnek, saldırganların artık yalnızca sahte alan adlarıyla değil; meşru görünümlü sayfalar, anti-bot kontrolleri ve zararsız gibi görünen dosya türleri üzerinden de çok daha ikna edici saldırılar yürüttüğünü gösteriyor. Bu nedenle özellikle iş hesaplarında, bağlantıların kaynağını dikkatle kontrol etmek, çok faktörlü kimlik doğrulama kullanmak ve beklenmeyen ekleri açmadan önce doğrulama yapmak büyük önem taşıyor.

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

• Kaynağı güvenilir olmayan e-postalar açılmamalı,

• Çok faktörlü kimlik doğrulayıcısı kullanılmalı,

• Sisteminiz her zaman en güncel sürümle güncellenmeli,

• Oturum açma günlüklerinin takibi yapılmalı,

• Mobil cihazların güvenliğinin takibi yapılmalı

  
  

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.