Siber saldırganlar link-wrapping hizmetlerini kullanarak Microsoft 365 giriş bilgilerini hedef aldı
Haziran ve Temmuz aylarında yürütülen kampanyalarda, saldırganların Proofpoint ve Intermedia gibi güvenilir teknoloji firmalarının bağlantı sarmalama (link-wrapping) hizmetlerini kötüye kullanarak Microsoft 365 kimlik bilgilerini çaldığı tespit edildi. Cloudflare araştırmacıları, saldırganların sahte Teams ve e-posta bildirimleriyle kullanıcıları oltalama sayfalarına yönlendirdiğini açıkladı.
Haziran ve Temmuz 2025 döneminde gerçekleştirilen siber saldırılarda, bir tehdit aktörünün güvenilir teknoloji şirketlerine ait bağlantı sarmalama (link-wrapping) hizmetlerini kötüye kullanarak Microsoft 365 kullanıcılarını hedef aldığı belirlendi.
Cloudflare Email Security ekibinin tespitlerine göre, saldırganlar Proofpoint ve Intermedia tarafından korunan e-posta hesaplarını ele geçirerek, zararlı bağlantıları bu hizmetlerin güvenli görünen URL’leri aracılığıyla iletti. Bağlantılar, zincirleme yönlendirmeler ve URL kısaltma servisleriyle gizlenerek kullanıcıların oltalama sitelerine ulaşması sağlandı.
Araştırmacılar, saldırıların sahte sesli mesaj bildirimleri veya Microsoft Teams üzerinde paylaşılan belgeler gibi görünümlerle yürütüldüğünü aktardı. Yönlendirme zincirinin sonunda, kullanıcıların giriş bilgilerini ele geçirmek için tasarlanmış Microsoft Office 365 oltalama sayfaları yer aldı.
Intermedia hizmetinin kötüye kullanıldığı vakalarda ise saldırganlar, “Zix” güvenli mesaj bildirimleri veya yeni bir Teams mesajı bildirimi gibi e-postalar gönderdi. Bu e-postalarda yer alan ve Intermedia tarafından sarılmış görünen bağlantılar, Constant Contact platformu üzerinden barındırılan oltalama sayfalarına yönlendirdi.
Cloudflare, meşru görünen bağlantıların saldırı başarısını artırdığını, link-wrapping özelliğinin bu şekilde istismar edilmesinin ise oltalama yöntemlerinde yeni bir gelişme olduğunu vurguladı.
Kaynak: CUMHA - CUMHUR HABER AJANSI
