Açıkların Teknik Detayları:
Tycoon 2FA, saldırganların iki faktörlü kimlik doğrulama (2FA) sistemlerini hedef alan sofistike phishing (oltalama) saldırıları başlatmasını kolaylaştıran bir Phishing-as-a-Service (PhaaS) platformudur. Bu platform, saldırıların otomasyonunu sağlayarak ve özelleştirilebilir oltalama şablonları sunarak, büyük ölçekli ve etkili saldırıların gerçekleştirilmesini mümkün kılmaktadır.
Platform, kurbanlara HTML dosyaları göndererek çalışmaktadır. Dinamik analiz, bu dosyaların kurbanlara sahte bir sesli mesaj sayfası gösterdiğini ve ardından onları Outlook benzeri oltalama sitelerine yönlendirdiğini ortaya koymuştur. Statik analiz ise HTML dosyasının kurbanın e-posta adresini depolamak için bir değişken içerdiğini ve base64 ile kodlanmış bir veri bloğunu barındırdığını göstermiştir.
Base64 kodu çözüldüğünde iki bölüm açığa çıkar:
- Sahte sesli mesaj sayfasına ait HTML kodu.
- Bir uzaktan sunucudan (disruptgive[.]com/res444.php) dört saniye gecikmeyle çağrılan JavaScript kodu. Bu kod, kurbanın sisteminde kötü niyetli işlemler gerçekleştirmek için kullanılır.
JavaScript kodunun çözülmesiyle saldırganların kullandığı yöntemler daha net hale gelmiştir. Kod, AES şifre çözme işlemi için anahtar (B + D) ve IV (C) değerlerini içerir. Çözülen kod, belirli bir karakterin bir dizi içinde bulunup bulunmadığını kontrol eder ve ardından kurbanı başka bir URL’ye yönlendiren bir bağlantı oluşturur.
Etkilenen Sistemler ve Yapılar:
- Sahte sesli mesaj içeren HTML sayfaları.
- “res444.php” adında bir PHP dosyası üzerinden saldırganlar tarafından kontrol edilen çoklu alan adları.
- Phishing kampanyalarında kullanılan genel oltalama şablonları ve altyapı.
Çözüm ve Öneriler:
Yama Yükleme:
- Çalışanlara, sahte sesli mesaj sayfalarına karşı dikkatli olmaları ve şüpheli e-postaları bildirmeleri gerektiği öğretilmelidir.
Proaktif İzleme:
- Kullanıcılar, tarayıcıda veya e-postalarda kimlik avı girişimlerini tespit eden yazılımlar kullanmalıdır.
- Alan adı ve URL analiz araçları ile Tycoon 2FA ile ilişkili alanlar tespit edilerek ağdan engellenmelidir.
Canlı Güncelleme:
- Güvenlik araştırmacıları, belirlenen alan adları ve PHP dosyalarına dayalı olarak oltalama altyapısını aktif bir şekilde izlemelidir.
Sonuç ve Öneriler:
Tycoon 2FA platformu, Phishing-as-a-Service ekosisteminin hızla büyüdüğünü ve giderek daha sofistike hale geldiğini göstermektedir. Kuruluşların bu tür tehditlere karşı proaktif güvenlik önlemleri alması, eğitim programlarını artırması ve dinamik güvenlik politikaları geliştirmesi gerekmektedir.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #Phishing #2FA #PhaaS #Tycoon2FA
About the Author
