Siber güvenlik uzmanları, Microsoft 365 kullanıcılarını hedef alan yeni bir saldırı dalgasını ortaya çıkardı. Bilgisayar korsanları, Microsoft’un kimlik doğrulama sistemini taklit eden sahte uygulamalarla kullanıcı bilgilerini çalıyor.
Proofpoint’in raporuna göre yetkisiz uygulamalar; Adobe, Docusign, SharePoint ve RingCentral gibi bilinen markaları taklit ediyor. Amaç kurbanları kandırıp bu yanıltıcı uygulamalara erişim izni verdirmek. Erişim izni verilirse hackerlar, kullanıcıların Microsoft hesaplarına giriş yapabiliyor.
Bu süreçte Tycoon adlı kimlik avı seti kullanılıyor. Tycoon, çok faktörlü kimlik doğrulama (MFA) sistemini bile aşma yeteneğine sahip. Bu arada saldırıların 2025’in ilk aylarında tespit edilğini ve halen devam ettiğini de belirtelim.
Dijital suçlular genelde sahte e-postaları kullanıyor. Bu e-postalarda teklif formu ya da sözleşme paylaşımı bahanesiyle bir bağlantı var. Kullanıcı bağlantıya tıkladığında, gerçek Microsoft sayfasına benzeyen bir onay ekranına yönlendiriliyor. Burada “iLSMART” adlı uygulama, kullanıcıdan profil bilgilerine erişim istiyor.
Bu noktada dikkat çeken bir detay var. iLSMART aslında havacılık, denizcilik ve savunma sanayilerine yönelik meşru bir yedek parça ve hizmet platformu. Ancak saldırganlar, bu ismi taklit ederek güven algısı oluşturuyor. Tabii ki bu versiyon dolandırıcıların bir hilesi.
Kurban kişi, CAPTCHA ekranından sonra uydurma bir Microsoft giriş sayfasına yönlendiriliyor. Sözde sayfa da, kullanıcı adı, parola ve MFA kodunu toplamak için hazırlanmış.
Proofpoint, bu yöntemle hazırlanmış 50’den fazla kopya uygulama tespit etti. Son olarak Adobe’un adı kullanılarak gönderilen e-postaların Twilio SendGrid üzerinden yayıldığı belirlendi. Yalnızca 2025 yılı içinde 3 bin kullanıcı hesabının hedef alındığı ve bu hesapların 900’den fazla farklı Microsoft 365 ortamına ait olduğu bildirildi.
Finlandiya merkezli siber güvenlik firması WithSecure de, Avrupa’da yürütülen başka bir kimlik avı operasyonunu ortaya çıkardı. Saldırganlar burada da fatura ya da sözleşme dosyası gibi görünen PDF’lerden yararlanıyor. PDF dosyaları içinde yer alan bağlantılar, kurbanın cihazına FleetDeck RMM gibi uzaktan erişim araçlarını yüklüyor. Kurulumdan sonra cihaz hackerların denetimine açık hale geliyor.
Microsoft, bu saldırı türlerine karşı bazı önlemler üzerinde çalışıyor. Ağustos 2025’e kadar üçüncü taraf uygulamalar için yönetici izni zorunlu hale getirilecek. Ayrıca eski kimlik doğrulama yöntemleri engellenecek.
