Kaspersky, geleneksel güvenlik kontrollerini aşmayı hedefleyen ve kod yazmadan geliştirme imkanı sunan Bubble platformunu istismar eden yeni bir oltalama (phishing) yöntemi tespit etti. Kullanıcıların görsel bir arayüz üzerinden web ve mobil uygulamalar geliştirmesine olanak tanıyan Bubble, siber saldırganlar tarafından kötüye kullanılarak, oltalama kampanyalarının etkinliğini artırmak amacıyla yeniden yapılandırılıyor.
Geleneksel kimlik avı saldırıları çoğunlukla zararlı bağlantılar veya kolayca tespit edilebilen yönlendirme yöntemlerine dayanırken, modern güvenlik sistemleri bu tür girişimleri genellikle hızlıca engelleyebiliyor. Ancak saldırganlar, artık Bubble'nın kodsuz geliştirme ortamını kullanarak, güvenilir altyapı ve *.bubble.io gibi meşru alan adları üzerinde barındırılan ara web uygulamaları oluşturuyor. Bu yaklaşım, saldırıların güvenilirliğini artırırken, güvenlik filtrelerini de aşmalarını kolaylaştırıyor. Söz konusu uygulamalar, kullanıcı tarafından fark edilmeden kimlik bilgilerini ele geçirmeye yönelik zararlı sayfalara yönlendiren gizli birer araç (redirector) olarak çalışıyor.
Gözlemlenen oltalama kampanyasında kullanıcılar, sonunda Microsoft giriş sayfasının son derece inandırıcı bir taklidine yönlendirildi. Bu sahte sayfa, kötü niyetli içeriği daha da gizlemek amacıyla Cloudflare doğrulama katmanıyla korunuyordu. Böylece, kullanıcıların bilgi çalmak amacıyla sahte sayfalara yönlendirilmesi daha etkili hale getirildi.
Kaspersky, bu tekniğin kapsamsal olarak "Hizmet Olarak Kimlik Avı" (PhaaS) platformlarına ve oltalama kitlerine entegre edildiğini belirtiyor. Bu kitler; oturum çerezlerinin gerçek zamanlı olarak ele geçirilmesi, Google Tasks ve Google Forms gibi yasal servisler aracılığıyla saldırıların yürütülmesi gibi gelişmiş imkanlar sunuyor. Ayrıca, çok faktörlü kimlik doğrulamayı (MFA) bypass edebilen "Ortadaki Saldırgan" (AiTM) eylemlerini gerçekleştirme yeteneğine de sahipler. Yapay zeka yardımıyla kimlik avı e-postaları oluşturma, güvenlik tarayıcılarından kaçmak için coğrafi filtreleme ve tespit önleme mekanizmaları kullanma gibi özelliklere sahip bu sistemler, kara listeye alınmamak amacıyla genellikle AWS gibi saygın bulut servislerinde barındırılıyor.
Kaspersky Anti-Spam Uzmanı Roman Dedenok, konuyla ilgili değerlendirmede bulundu. Dedenok, "Bubble gibi meşru platformların bu şekilde kullanılması, güven istismarını yeni bir boyuta taşıyor. Bu durum, hem kullanıcıların hem de otomatik sistemlerin güvenli içerik ile zararlı içeriği birbirinden ayırt etmesini zorlaştırıyor. Dolayısıyla kimlik bilgilerinin çalınması, yetkisiz erişim ve olası veri ihlali riskleri önemli ölçüde artıyor" ifadelerini kullandı.
Kaspersky, bu tür tehditlere karşı kurumlara şu önlemleri öneriyor:
- Saldırganların, kurumsal kimlik bilgilerini yalnızca doğrulanmış ve resmi platformlara girmeleri gerektiği konusunda bilgilendirilmesi.
- Bilinen ve şüpheli oltalama hedeflerine erişimi engelleyecek güvenlik çözümlerinin devreye alınması.
- E-posta aşı geğidi üzerinde geliştirilmiş anti-phishing teknolojilerinin kullanılarak zararlı mesajlara maruziyetin azaltılması.
- Saldırganların gelişen yöntemlerine karşı güncel kalınması ve tehdit istihbaratının güvenlik operasyonlarına entegre edilmesi.
