Hayalet Kimlik Avı: Geleneksel E-posta Güvenliğini Aşan Yeni Tehdit Yazılım

Hayalet Kimlik Avı: Geleneksel E-posta Güvenliğini Aşan Yeni Tehdit

EvilTokens kampanyası, geleneksel e-posta güvenliğini aşan yeni bir kimlik avı tekniği olan hayalet phishing ile Microsoft 365 hesaplarını hedef alıyo

Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor: Hayalet kimlik avı (ghost phishing). Son dönemde ABD ve Avrupa'daki işletmeleri hedef alan EvilTokens kampanyası, geleneksel e-posta güvenlik önlemlerini aşan sofistike bir teknik kullanıyor. Bu yöntemde, zararlı bağlantı ilk incelemede zararsız görünürken, kurbanın tarayıcısında açıldığında şifrelenmiş HTML içeriği çözülerek phishing sayfası canlanıyor. Bu durum, güvenlik ekipleri için ciddi bir görünürlük açığı oluşturuyor.

Saldırı, Microsoft Device Code Phishing yöntemini kullanarak kurbanları meşru bir Microsoft oturum açma akışını tamamlamaya ikna ediyor. Bu sayede saldırganlar, şifreyi doğrudan çalmadan hesaba yetkili erişim elde ediyor. Phishing sayfasının HTML kodu AES-GCM şifrelemesi ile korunduğu için, statik URL kontrolleri ve ağ düzeyindeki güvenlik duvarları tehdidi tespit edemiyor. Sonuç olarak, Microsoft 365 hesabı ele geçirilene kadar saldırı fark edilmiyor.

ANY.RUN'in interaktif sanal alanında yapılan analiz, saldırının tam akışını ortaya çıkardı. Tarayıcıda şifre çözüldükten sonra DOM'da phishing içeriği beliriyor ve Fetch/XHR istekleri ile Microsoft'un /api/device/start uç noktasına iletişim kuruluyor. Bu gizli akış, güvenlik ekiplerinin müdahale süresini uzatıyor ve hesap ele geçirme riskini artırıyor.

ANY.RUN'in Tehdit İstihbaratı verilerine göre, EvilTokens kampanyası en çok teknoloji, üretim, eğitim, bankacılık, danışmanlık, finansal hizmetler ve yönetilen güvenlik hizmet sağlayıcılarını (MSSP) hedef alıyor. 15.000 kuruluştan alınan verilere göre, 2026'da phishing maruziyeti danışmanlıkta %75,6, finansal hizmetlerde %72,8, üretimde %71,9, teknolojide %67,9, bankacılıkta %66,7 ve MSSP'lerde %66,1 seviyesinde. Bu sektörlerde ele geçirilen bir Microsoft 365 hesabı, hassas verilerin sızmasına, iş e-postası ele geçirme dolandırıcılığına ve maliyetli olay müdahalesine yol açabiliyor.

Hayalet kimlik avını durdurmanın en etkili yolu, şüpheli bağlantıları tarayıcı içi veri incelemesini destekleyen bir sanal alanda açmaktır. ANY.RUN'in Interaktif Sandbox'ı, analistlerin şifrelenmiş AES-GCM yanıtının ötesine geçerek sayfanın şifre çözüldükten sonraki davranışını görmesini sağlar. DOM anlık görüntüleri, HTTP istekleri ve URL detayları sayesinde saldırının tam akışı tek bir incelemede ortaya çıkar. Bu sayede güvenlik ekipleri, tespit ve önleme için gerekli kanıtları hızlıca elde eder.

Sistem Güvenliği

Saldırı kanıtlarının birinci seviye analistlerden ikinci seviyeye aktarılması, otomatik olarak oluşturulan raporlar sayesinde kolaylaşır. AI özeti ve önerilen sonraki adımları içeren bu raporlar, üst düzey analistlerin temel bulgulara, göstergelere ve müdahale bağlamına tek bir yerden erişmesini sağlar. Bu da ekipler arası geçişi hızlandırır, tekrarlanan işleri azaltır ve müdahale süresini kısaltır. Hayalet phishing tehdidine karşı tarayıcı düzeyinde görünürlük sağlamak, güvenlik liderlerinin maruz kalma penceresini daraltmasına, üst düzey analistlerin üzerindeki baskıyı azaltmasına ve olay müdahale maliyetlerini düşürmesine yardımcı olur.

Kaynak: thehackernews.com

Paylaş: