Siber hatalıların yeni tuzağı: Tarayıcı belleği üzerinden vergi ve şifreli ileti hırsızlığı

Siber güvenlik araştırmacıları, oturum açma kimlik bilgilerini şifrelemeyle korunsa bile çalmak için nadiren kullanılan sinsi bir teknikle karşı karşıya olduğumuzu ortaya koydu.
Cofense’nin yeni araştırmasına nazaran, siber hatalılar artık süreksiz mahallî içerik görüntülemek için tasarlanmış bir tarayıcı özelliği olan blob URI’lerini kimlik avı sayfaları sunmak için berbata kullanıyor.
Blob URI’leri büsbütün kullanıcının tarayıcısı içinde oluşturulup erişildiği için kimlik avı içeriği halka açık bir sunucuda asla var olmuyor.
Bu durum, en gelişmiş uç nokta muhafaza sistemlerinin bile bunu tespit etmesini son derece zorlaştırıyor.
GİZLİ TEKNİK NASIL İŞLİYOR
Bu kampanyalarda, kimlik avı süreci İnançlı E-posta Ağ Geçitlerini (SEG’ler) basitçe aşan bir e-postayla başlıyor.
Bu e-postalar ekseriyetle yasal görünen bir sayfaya ilişki içeriyor ve çoklukla Microsoft’un OneDrive’ı üzere muteber tesir alanlarında barındırılıyor.
Ancak bu birinci sayfa, kimlik avı içeriğini direkt barındırmıyor. Bunun yerine, bir aracı olarak hareket ediyor ve tehdit aktörü tarafından denetim edilen ve bir blob URI’sine kodlanan bir HTML evrakını sessizce yüklüyor.
Sonuç olarak kurbanın tarayıcısında Microsoft’un oturum açma portalını taklit edecek formda tasarlanmış düzmece bir oturum açma sayfası oluşturuluyor.
MAĞDURLAR NASIL ETKİLENİYOR VE KORUNMA YOLLARI NELER
Mağdur için hiçbir şey yersiz görünmüyor; garip URL’ler yahut bariz dolandırıcılık belirtileri yok, yalnızca inançlı bir iletisi görüntülemek yahut bir dokümana erişmek için oturum açma istemi geliyor.
Blob URI’leri büsbütün tarayıcının belleğinde çalıştığı ve oturum dışından erişilemediği için klâsik güvenlik araçları içeriği tarayamıyor yahut engelleyemiyor.
Girilen kimlik bilgileri sessizce uzaktaki bir tehdit aktörü uç noktasına sızdırılıyor ve kurbanın haberi olmuyor.
Yapay zeka tabanlı güvenlik filtreleri de bu hücumları yakalamakta zorlanıyor zira blob URI’leri nadiren makûs maksatlı kullanılıyor.