"Fangxiao" olarak bilinen Çinli bir bilgisayar korsanlığı grubu, yaygın bir kimlik avı kampanyasında kurbanları hedeflemek için binlerce sahte etki alanı kullanıyor.
Binlerce Kişi Fangxiao Kimlik Avı Kampanyası Riskinde
Çinli bilgisayar korsanlığı grubu "Fangxiao" tarafından yürütülen büyük bir kimlik avı kampanyası binlerce insanı riske atıyor. Bu kampanya, kimlik avı saldırılarını kolaylaştırmak için 42.000 sahte etki alanı kullandı. Bu sahte etki alanları, kullanıcıları reklam yazılımı (reklam amaçlı kötü amaçlı yazılım) uygulamalarına, eşantiyonlara ve tanışma sitelerine yönlendirmek için tasarlanmıştır.
Bir siber güvenlik ve tehdit çözümleri şirketi olan Cyjax, bu kampanyada kullanılan 42.000 sahte alan adını keşfetti. İçinde Cyjax blog gönderisi Emily Dennison ve Alana Witten tarafından, dolandırıcılık, "itibardan yararlanma" yeteneği ile karmaşık olarak tanımlandı. perakende, bankacılık, seyahat, ilaç, seyahat ve enerji".
Dolandırıcılık bir ile başlar kötü amaçlı WhatsApp mesajı, burada güvenilir bir markanın kimliğine bürünür. Bu tür markalara örnek olarak Emirates, Coca-Cola, McDonald's ve Unilever verilebilir. Bu mesaj, alıcıya bir cazibe duygusu verilen bir web sayfasına bağlantı sağlar. Yeniden yönlendirme sitesi, kullanıcı aracısının yanı sıra hedefin IP adresine de bağlıdır.
Örneğin, McDonald's ücretsiz bir eşantiyon verdiğini iddia ediyor olabilir. Kurban çekilişe kaydını tamamladığında, Triada'nın indirilmesi Trojan kötü amaçlı yazılımı tetiklenebilir. Kötü amaçlı yazılım, kurbanlara eşantiyona katılmaya devam etmeleri için yüklemeleri söylenen belirli bir uygulamanın indirilmesi üzerine de yüklenebilir.
CloudFlare Tarafından Korunan Saldırganlar
Cyjax, bu kampanyayla ilgili blog gönderisinde, Fangxiao'nun altyapısının çoğunlukla bir Amerikan İçerik Dağıtım Ağı (CDN) olan CloudFlare tarafından korunduğunu belirtti. Sahte alan adlarının GoDaddy, Namecheap ve Wix üzerinde oluşturulduğu ve adlarının sık sık döndürüldüğü de kaydedildi.
Bu kimlik avı alan adlarının çoğu .top'a, geri kalanı ise çoğunlukla .cn, .cyou, .xyz, .tech ve .work'e kayıtlıydı.
Fangxiao Grubu Yeni Bir Şey Değil
Fangxiao bilgisayar korsanlığı grubu bir süredir ortalıkta dolaşıyor. Bu kampanyada kullanılan alan adları ilk olarak 2019 yılında Cyjax tarafından fark edilmiş ve o günden bu yana sayıları giderek artmaktadır. Ekim 2022'de Fangxiao tarafından yalnızca bir gün içinde 300'den fazla benzersiz alan adı eklendi.
Grubun Çin merkezli olduğu %100 doğrulanmadı, ancak Cyjax bu konumu büyük bir güvenle belirledi. Bunun bir göstergesi, grubun açıktaki kontrol panellerinden birinde Mandarin dili kullanılmasıdır. Cyjax ayrıca kampanyanın amacının muhtemelen parasal kazanç olacağını tahmin etti.
Kimlik Avı Kampanyaları Artıyor
Kimlik avı, günümüzün en popüler siber suç taktiklerinden biridir ve çeşitli biçimlerde olabilir. Kimlik avı saldırılarını, özellikle de oldukça karmaşık olanları tespit etmek zor olabilir. İstenmeyen e-posta filtreleri ve virüsten koruma programları, kimlik avı saldırılarını azaltmak için kullanılabilir, ancak yine de sezginize güvenmek ve tam olarak doğru görünmeyen iletişimlerden kaçınmak önemlidir.
