GitHub, Telegram Botları ve ASCII QR Kodları Yeni Bir Kimlik Avı Saldırısında Kötüye Kullanılıyor
Siber suçlular, GitHub depolarını ve Telegram botlarını kullanarak finans sektörünü hedef alan yeni bir kimlik avı saldırısı başlattı. Bu saldırılarda, güvenilir GitHub depoları kullanılarak Remcos RAT adlı zararlı yazılım dağıtılıyor. Güvenlik araştırmacıları, bu yöntemin özellikle GitHub’ın güvenilir yapısını kötüye kullanarak e-posta güvenlik filtrelerini atlatmak amacıyla tercih edildiğini belirtiyor.
Cofense araştırmacılarından Jacob Malimban, saldırganların bilinen GitHub depolarında (UsTaxes, HMRC gibi) kötü niyetli yükler barındırdığını ve bu zararlı dosyaların GitHub yorumları aracılığıyla hedeflere iletildiğini açıkladı. Bu yöntem, saldırganların yorumları silmesine rağmen zararlı dosya bağlantılarının aktif kalmasına neden oluyor.
Ayrıca, saldırılar sırasında kullanılan bir diğer teknik, ASCII- ve Unicode tabanlı QR kodları ve blob URL’leri ile kimlik avı içeriğinin tespitini zorlaştırmak. Blob URL’leri, tarayıcı belleğinde geçici olarak tutulan dosyaları işlemek için kullanılıyor ve bu yöntemle zararlı içeriklerin dış sunuculara gönderilmesine gerek kalmıyor.
Bu gelişmelerin yanı sıra, Telekopye Telegram araç kiti kullanan siber saldırganların, Booking.com ve Airbnb gibi platformları hedef alarak kullanıcıları sahte ödeme bağlantılarına yönlendirdiği yeni bir kimlik avı saldırı dalgası da tespit edildi. Saldırganlar, sahte web siteleri oluşturup kullanıcıların finansal bilgilerini çalmaya çalışıyor.
Saldırılar, Telegram botları ve otomatik kimlik avı sayfaları oluşturma gibi gelişmiş araçlar kullanılarak hızlandırılıyor. Aralık 2023’te bazı Telekopye üyeleri tutuklanmış olsa da, grup faaliyetlerini sürdürmeye devam ediyor.
Bu kimlik avı yöntemleri, saldırganların gittikçe daha karmaşık teknikler kullanarak güvenlik önlemlerini aşmaya çalıştığını gösteriyor.