Saldırı Kampanyalarında CAPTCHA Kullanımında Artış Tespit Edildi

Siber saldırılarda kullanılan phishing sitelerinde güvenlik tarayıcılarının kötü amaçlı içeriği algılamasını engellemek ve phishing oturum açma sayfalarına meşru bir görünüm kazandırmak amacıyla CAPTCHA kullanımının arttığı gözlemlenmiştir. (Referans Linki)

Gerçekleştirilen bazı saldırılarda Microsoft, Outlook, Apple ve diğer giriş sayfalarının kullanıldığı belirlenmiştir. Kullanıcı zararlı bir URL adresine gittiğinde CAPTCHA çözmesi istenmektedir ve kullanıcı CAPCHA’yı çözdüğünde bir phishing sayfası görüntülenmektedir. CAPTCHA çözülmeden önce görüntülenen sayfa URL’i içerisindeki parametrelerde reCAPTCHA API anahtarını ortaya çıkaran istekler gözlemlenebilmektedir. Bu tür tanımlayıcı bilgiler ayrıştırılabilmekte ve diğer sayfalarda aranabilmektedir. Böylece diğer phishing sayfaları bulunabilmektedir. CAPTCHA key bilgisine HTML üzerinden de ulaşılabilmektedir. Bu key bilgileri, içeriği görüntülemeden zararlı sayfaları tespit etme imkanı sunmaktadır.

Phishing kampanyalarının yanı sıra birçok dolandırıcılık kampanyası, zararlı gatewayler ve zararlı yazılım dağıtan web sitelerinde CAPTCHA kullanıldığı gözlemlenmiştir. Bunun yanında grayware yazılımını içeren web sitelerinde de CAPTCHA kullanımı yaygınlaşmaktadır. Anket ve piyango dolandırıcılığı için yaygın olarak kullanılan grayware sayfaları üzerinden sahte bir ödeme veya piyangoyu kazanma şansı karşılığında, kullanıcıya ait adres, doğum tarihi, banka bilgileri, yıllık gelir vb. dahil olmak üzere hassas bilgiler ifşa edilebilmektedir.

Tespit edilen saldırı kampanyalarından elde edilen IoC bulguları Github üzerinde yayınlanmıştır. Kullanıcıların bu bulguları güvenlik cihazlarında engellemeleri tavsiye edilmektedir. Bunun yanında güvenilir olmayan web sitelerini ziyaret etme konusunda dikkatli olunması önerilmektedir.

Şu ana kadar tespit edilen en popüler 10 Captcha ID bilgisi:

6LcEthAUAAAAANLeILVZiZpPDbVwyoQuQ7c3qlsy
6LcJK64UAAAAAKwjDYyWpakQ_5aFAb34tK-EkiDA
6Le-dsYUAAAAABJa32oIuo9LEPsur7OcBz-a9kyL
6LfKnxEUAAAAAO1iXBX9FqL0w-68XqXGl3UPBF5p
6Lc8-cQUAAAAAF60sMK0PjhPOA6ciyzy6cfnGcl0
6LeihuEUAAAAAEgMRhYQKQCxnJvsqIZnRghJAPcH
6LezpHMUAAAAALunasQAvKdhRwFC1oqRE0OZW8f4
6LdkVo0aAAAAAN5yxjGbJPH39rF–s6ZVsl_LxzE
6LdVFrgUAAAAAEMNq1ljl8HZSQ2sA8Hu6a8umPQr
6LfrPbMUAAAAAF2DLXNWH8-s0Ln08lXtaX9k1tRC

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!