Siber güvenlik araştırmacıları, Adobe, Netflix, Coca-Cola ve OpenAI gibi 30'dan fazla tanınmış markayı taklit ederek pazarlama profesyonellerini hedef alan bir phishing kampanyası tespit etti. Saldırganlar, sahte iş görüşmeleri düzenleyerek mağdurların Google hesap bilgilerini çalmayı amaçlıyor. Kampanya, meşru bulut tabanlı PeopleForce insan kaynakları platformunu ve Salesforce Marketing Cloud hizmetine ait bir alan adını kötüye kullanarak, kullanıcıları kötü niyetli bir açılış sayfasına yönlendiriyor.
Siber güvenlik istihbarat şirketi Team Cymru'dan Will Thomas, kampanyayı analiz ederek phishing e-postalarının, ‘pazarlama pozisyonları için işe alım yapan bir işe alımcı’ gibi göründüğünü ortaya çıkardı. Tehdit aktörü, güven oluşturmak ve başarı şansını artırmak için taklit ettikleri şirketlerdeki gerçek işe alımcıların isimlerini ve fotoğraflarını kullanıyor. Araştırmacı, American Airlines, Coca-Cola, Adidas, ve Netflix gibi 34 farklı alan adının kullanıldığını belirledi.
Phishing e-postaları PeopleForce üzerinden geliyor gibi görünse de, bağlantılar aslında Salesforce tarafından işletilen exct[.]net alan adına yönlendiriyor. Buradan Wise Agent CRM yazılımına, oradan da phishing açılış sayfasına geçiliyor. BleepingComputer, bu operasyonun en az beş aydır devam ettiğini ve başlangıçta taklit edilen şirketin adını taşıyan Outlook e-posta adreslerinin kullanıldığını tespit etti. Örneğin, bir e-posta Adidas işe alımcısı Paulina Manzo'dan geliyormuş gibi görünerek alıcıdan bir görüşme ayarlamasını istiyordu.
Uzmanların Görüşleri
Görüşme bağlantısına tıklandığında, kullanıcılar adidas-hiring[.]com adresine yönlendiriliyor ve burada Google hesabına giriş yapmaları isteniyor. ‘Continue with Google’ butonuna tıklamak, sahte bir Google giriş pop-up'ı açıyor. Bu pop-up, tarayıcı içinde tarayıcı (BitB) tekniği kullanılarak oluşturulmuş ve meşru bir pencere gibi görünse de aslında sadece HTML ve CSS kodlarından ibaret. Saldırganlar, modern web geliştirme araçlarıyla kimlik doğrulama pop-up'ının tüm öğelerini taklit edebiliyor. Araştırmacılar, kampanyada kullanılan 34 alan adının listesini GitHub'da yayınladı.