ABD hükümeti müteahhitlerini hedef alan devam eden bir kimlik avı kampanyası, operasyonunu daha kaliteli yemleri ve daha iyi hazırlanmış belgeleri zorlayacak şekilde genişletti.
Bu kimlik avı e-postalarındaki cazibe, kârlı hükümet projeleri için teklif talebidir ve onları meşru federal ajans portallarının klonları olan kimlik avı sayfalarına götürür.
Bu, INKY’nin Ocak 2022’de bildirdiği, tehdit aktörlerinin ABD Çalışma Bakanlığı projeleri için teklif verme sürecinden geçme talimatlarıyla birlikte ekli PDF’leri kullandığı operasyonun aynısı.
Göre Cofense’den bir raporoperatörler hedeflemelerini genişlettiler ve şimdi de Ulaştırma Bakanlığı ve Ticaret Bakanlığı’nı yanıltıyorlar.
Ayrıca, artık mesajlarda kullanılan çok sayıda farklı cazibe, daha iyi kimlik avı web sayfası davranışı ve ekli PDF’lerin önceki sürümlerinde sahtekarlık belirtilerini ortaya çıkaran eserlerin kaldırılması var.
Yüksek kaliteli bir kampanyayı parlatma
Bu kampanyanın arkasındaki kimlik avı aktörleri, daha önce elde ettiklerini temel alarak, başarı oranlarını artırmak için dikkatli revizyonlar uyguladılar.
Kimlik avı e-postalarından başlayarak, Cofense artık daha tutarlı biçimlendirme ve daha büyük logolar sunduklarını ve dosyayı eklemek yerine PDF’ye bir bağlantı eklemeyi tercih ettiklerini bildiriyor.
PDF dosyaları, aşırı teknik bilgilerle birlikte, nasıl teklif verileceği konusunda ayrıntılı talimatlar içeriyordu. Şimdi, daha belirgin logolar ve kimlik avı sayfasına bir bağlantı içeren basitleştirilmiş ve boyut olarak küçültülmüşlerdir.
Ayrıca, PDF’ler daha önce aynı imza sahibi olan “edward ambakereremo”yu içeriyordu, oysa şimdi belgelerdeki meta veriler sahte departmanla eşleşiyor. Örneğin, Wisconsin Ulaştırma Bakanlığı tarafından gönderildiği varsayılan yemler “WisDOT” ile imzalanır.
Kimlik avı web siteleri de aynı etki alanındaki tüm web sayfalarında HTTPS kullanılarak hedeflenen iyileştirmeler aldı.
Daha önce kampanyaya hizmet veren “.gov” sitelerine ek olarak, tehdit aktörleri artık “ulaşım” gibi çok uzun alan adlarını da kullanıyor.[.]hükümet[.]teklif verme[.]güvenli[.]büyük ikramiye[.]URL çubuğunda tam uzunluğu gösteremeyen mobil tarayıcılardan açıldığında meşru görünmelerini sağlamak için.
Ziyaretçileri Microsoft Office 365 hesap kimlik bilgilerini girmeleri için kandırmaya çalışan kimlik avı sayfasında, tehdit aktörleri artık bot girişlerini kaydetmediklerinden emin olmak için bir Captcha Challenge adımı eklediler.
Görünüm
Görünüşe göre bu kampanyanın operatörleri yakın zamanda durmayacak, çünkü şimdi aynı anda hem hedef alanlarını genişletiyor hem de cazibelerini iyileştiriyorlar.
Bu kimlik avı işleminde kullanılan e-postaların, PDF’lerin ve web sitelerinin esasen teklif taleplerinden ve devlet ihale portallarından gelen gerçek içeriğin kopyaları olduğu göz önüne alındığında, dolandırıcılık belirtilerini yakalamak zor olabilir.
Cofense, “Kimlik avı zincirinin her alanında görülen ilerlemeler göz önüne alındığında, bu kampanyaların arkasındaki tehdit aktörlerinin zaten inandırıcı kampanyalarını yenilemeye ve iyileştirmeye devam etmesi muhtemeldir” diyor.
Buna karşı savunmanın tek yolu, gönderen adres, açılış URL’si gibi tüm ayrıntıları incelemek ve sonunda sağlanan bağlantıları takip etmek yerine bir arama motoru aracılığıyla teklif portalını ziyaret etmektir.
Emin değilseniz URL’leri çevrimiçi olarak aramayı deneyin, çünkü bu uzun süredir devam eden kampanyaların çoğu, hileli doğalarını doğrulayan uzlaşma göstergeleri yayınlamıştır.