Güncelleme Tarihi: Eylül 5, 2025 20:12

Siber hatalıların yeni tuzağı: Tarayıcı belleği üzerinden vergi ve şifreli bildiri hırsızlığı

Haber Merkezi

Siber güvenlik araştırmacıları, oturum açma kimlik bilgilerini şifrelemeyle korunsa bile çalmak için nadiren kullanılan sinsi bir teknikle karşı karşıya olduğumuzu ortaya koydu.

Cofense'nin yeni araştırmasına nazaran, siber hatalılar artık süreksiz mahallî içerik görüntülemek için tasarlanmış bir tarayıcı özelliği olan blob URI'lerini kimlik avı sayfaları sunmak için berbata kullanıyor.

Blob URI'leri büsbütün kullanıcının tarayıcısı içinde oluşturulup erişildiği için kimlik avı içeriği halka açık bir sunucuda asla var olmuyor.

Bu durum, en gelişmiş uç nokta muhafaza sistemlerinin bile bunu tespit etmesini son derece zorlaştırıyor.

GİZLİ TEKNİK NASIL İŞLİYOR

Bu kampanyalarda, kimlik avı süreci İnançlı E-posta Ağ Geçitlerini (SEG'ler) basitçe aşan bir e-postayla başlıyor.

Bu e-postalar çoklukla legal görünen bir sayfaya irtibat içeriyor ve çoklukla Microsoft'un OneDrive'ı üzere muteber tesir alanlarında barındırılıyor.

Ancak bu birinci sayfa, kimlik avı içeriğini direkt barındırmıyor. Bunun yerine, bir aracı olarak hareket ediyor ve tehdit aktörü tarafından denetim edilen ve bir blob URI'sine kodlanan bir HTML evrakını sessizce yüklüyor.

Sonuç olarak kurbanın tarayıcısında Microsoft'un oturum açma portalını taklit edecek biçimde tasarlanmış geçersiz bir oturum açma sayfası oluşturuluyor.

MAĞDURLAR NASIL ETKİLENİYOR VE KORUNMA YOLLARI NELER

Mağdur için hiçbir şey yersiz görünmüyor; garip URL'ler yahut bariz dolandırıcılık belirtileri yok, yalnızca inançlı bir iletisi görüntülemek yahut bir dokümana erişmek için oturum açma istemi geliyor.

Blob URI'leri büsbütün tarayıcının belleğinde çalıştığı ve oturum dışından erişilemediği için klâsik güvenlik araçları içeriği tarayamıyor yahut engelleyemiyor.

Girilen kimlik bilgileri sessizce uzaktaki bir tehdit aktörü uç noktasına sızdırılıyor ve kurbanın haberi olmuyor.

Yapay zeka tabanlı güvenlik filtreleri de bu taarruzları yakalamakta zorlanıyor zira blob URI'leri nadiren makus emelli kullanılıyor.