Bing aramasında "KakaoTalk" için ilk 3 sonucun tamamı Çin kaynaklı phishing

Bing aramasında "KakaoTalk" için ilk 3 sonucun tamamı Çin kaynaklı phishing

Bing'de "KakaoTalk" aratıldığında ilk 3 sonucun (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) tamamı phishing çıkıyor. Altyapı ve kod analizi sonucunda:

• Filtreleme: Referer+UA yoksa 500/403 döndürüyor (doğrudan erişim/otomatik tarayıcıdan kaçınma)
• Çin altyapısı: Tencent/DNSpod kaydı, 51.la analitiği, og:locale=zh-cn, Çin Telegram hesabı bağlantısı
• Kayıt: 3 alan adı 1 saniye arayla toplu kaydedilmiş, aynı /24 subnet'te, TLS aynı gün verilmiş
• Kötü amaçlı yazılım: .scr kılığına sokulmuş NSIS yükleyici → yönetici yetkisi istiyor → DcryptDll.dll ile payload'u çözüyor → AppData'ya bırakıyor
• Dağıtım: 3 alan adının tamamı aynı Cloudflare CDN URL'sine yönlendiriyor (download.i96l6[.]top, Alibaba Cloud)

Asıl resmi KakaoTalk sitesi ise 4. sıraya itilmiş durumda. Edge'in varsayılan arama motoru Bing olduğundan, ayarları değiştirmemiş kullanıcılar için oldukça büyük bir tehdit.

Ayrıntılar

Tespit atlatma yapısı oldukça sofistike. Phishing sayfası yalnızca arama motoru sonuçları üzerinden gelen kullanıcılara gösteriliyor; URL'ye doğrudan erişimde veya otomatik tarayıcılara ise boş sayfa döndürülüyor. Bu nedenle urlscan.io gibi açık analiz servisleriyle de tespit edilemiyor; kullanıcı URL'yi şüphelenip doğrudan kontrol ettiğinde de hiçbir şey görünmediği için raporlamaya gitmesi zorlaşıyor.

Saldırganı tanımlamak görece kolay. Kaynak kodunda 51.la (Çin web analitiği) izleme kodu, og:locale=zh-cn, /wenzhang/ (文章) yolu, Telegram iletişim bilgisinin hardcode edilmesi gibi Çin çıkışına işaret eden çok sayıda gösterge bulunuyor. Alan adı kaydı Tencent/DNSpod üzerinden, CDN ise Alibaba Cloud üzerinden geçiyor.

3 alan adı fiilen tek bir operasyon. Registry Domain ID'leri ardışık, 1 saniye arayla toplu kayıt yapılmış, aynı /24 subnet kullanılıyor, aynı filtreleme mantığı ve aynı indirme URL'si kullanılıyor. SEO çeşitliliği sağlamak için yalnızca metadata'sı değiştirilmiş bir şablon yapısı (seo_templates/index/zd/kk_1/2/3/) kullanılmış.

İndirme yolunda oturum geçitlemesi uygulanıyor. /download sayfasına giriş → PHPSESSID çerezi veriliyor → /download.php çağrıldığında 302 ile harici CDN'e (download.i96l6[.]top) yönlendiriliyor. Çerez olmadan download.php'ye doğrudan erişilirse 500 dönüyor.

Dağıtılan dosya, .scr (ekran koruyucu) uzantısı kullanan bir PE çalıştırılabilir dosyası. NSIS v3.07 yükleyicisi olarak geliyor ve metadata'sında kendini "Kakao Corp. / KakaoTalk Setup" diye gizliyor. Yönetici yetkisi talep ediyor; içinde çalışma anında şifre çözme yapan DLL (DcryptDll.dll) ile WPS Office (Kingsoft) bileşenleri birlikte paketlenmiş durumda. Bu yöntemle hem meşru yazılım hem de kötü amaçlı payload aynı anda kuruluyor ve kullanıcının şüphelenme ihtimali azaltılıyor.