Bilgisayar korsanları, aldatıcı istemlerle insan hatasını kullanmak için yeni ClickFix taktiklerinden yararlanıyor


ClickFix Baiting olarak bilinen sofistike bir sosyal mühendislik tekniği, siber suçlular arasında, bireysel bilgisayar korsanlarından Rusya bağlantılı APT28 ve İran’a bağlı çamurlu su gibi devlet destekli ileri kalıcı tehdide (APT) gruplara kadar çekiş kazanmıştır.

Bu yöntem, insan son kullanıcılarını siber güvenlik savunmalarındaki en zayıf bağlantı olarak hedefler ve onları görünüşte iyi huylu istemlerle kötü amaçlı komutlar yürütmeye kandırır.

Gizli bir sosyal mühendislik tehdidi ortaya çıkıyor

ClickFix kampanyaları, sağlık hizmetleri, misafirperverlik, otomotiv ve devlet sektörleri de dahil olmak üzere çeşitli endüstrileri etkiledi ve dünya çapında organizasyonel güvenlik için önemli bir tehdit oluşturdu.

– Reklamcılık –
Google Haberleri

GitHub veya aldatıcı kimlik avı e -postaları gibi tanıdık platformlardan yararlanarak, saldırganlar genellikle geleneksel güvenlik önlemlerini endişe verici bir şekilde atlayan bir kötü niyetli faaliyet zinciri başlatan yükler sunar.

2025’in başlarında yürütülen Darktrace’in tehdit araştırma ekibinin soruşturmaları, ClickFix kampanyalarının karmaşık saldırı zincirine ışık tuttu.

ClickFix Tekniği
HTTP GET isteği

Saldırganlar genellikle mızrak kimlik avı bağlantıları, sürücüden uzlaşmalar veya sahte captcha, kullanıcıları rutin doğrulama adımları veya hata düzeltmeleri olarak gizlenmiş kötü amaçlı URL’lere yönlendiren sahte captcha talepleri kazanırlar.

Yanlışlaştırıldıktan sonra, kurbanlar bir Windows Run iletişim kutusu açan, kötü niyetli bir PowerShell komutu yapıştıran ve bunu yürüterek Xworm, Lumma ve Asyncrat gibi kötü amaçlı yazılım ailelerinin kurulumuyla sonuçlanan aldatıcı üç aşamalı bir işlemle yönlendirilir.

Darktrace’in anomali tabanlı tespiti bu tehditleri Avrupa, Orta Doğu, Afrika ve Amerika Birleşik Devletleri’ndeki müşteri ortamlarında tanımladı.

ClickFix Saldırı Yaşam Döngüsü

9 Nisan 2025’teki belirli bir olayda, Darktrace / Network, uzlaşmış bir cihazda yeni bir PowerShell kullanıcı aracısını işaretledi, bu da uzaktan kod yürütülmesini ve daha sonra şüpheli uç noktalarla komut ve kontrol (C2) iletişimini gösterdi.

ClickFix Tekniği
PowerShell Kullanıcı Temsilcisi

Bunu, sayısal olarak adlandırılan dosyaların indirilmesi ve 193.36.38 gibi IP’lere veri açığa çıkması için kullanılan bir kötü amaçlı yazılımın ayırt edici özelliği izledi.[.]237, birden fazla OSINT kaynağı tarafından kötü niyetli olarak onaylandı.

Rapora göre, saldırı otomatik veri çıkışında ikincil bir C2 sunucusuyla sonuçlandı, 188.34.195[.]44, ClickFix işlemlerinin hızını ve gizliliğini vurgulamak.

Otonom yanıt modunda yapılandırıldığında, Darktrace saniyeler içinde kötü niyetli uç noktalara bağlantıları başarıyla engelledi ve gerçek zamanlı tehdit muhafazasının gücünü gösterir.

Böyle bir otomasyon olmadan, manuel müdahale genellikle bu saldırıların hızlı ilerlemesine ayak uyduramaz ve hassas verilerin çalınmasına veya daha fazla ağ uzlaşmasına izin verir.

Darktrace’in uzlaşma göstergelerini (IOC’ler) ilişkilendirme ve gelişmiş izleme modeli aracılığıyla yüksek öncelikli uyarıları tetikleme yeteneği, insan hatasını önlemle sömüren ClickFix gibi gelişen taktiklerle mücadelede uyarlanabilir, anomali güdümlü siber güvenlik çözümlerine duyulan ihtiyacın altını çiziyor.

Uzlaşma Göstergeleri (IOCS)

TipIOC değeriAçıklama + Güven
IP adresi193.36.38[.]237C2 Sunucusu – Onaylandı Kötü niyetli
IP adresi188.34.195[.]44C2 Sunucusu – Onaylandı Kötü niyetli
IP adresi138.199.156[.]22C2 Sunucusu – Onaylandı Kötü niyetli
Ana bilgisayar adıRKUAGQNMYPETVF[.]tepeC2 Sunucusu – Onaylandı Kötü niyetli
Uri/1744205184Olası kötü amaçlı dosya
Sha-256 karma34ff2f72c191434ce5f20bc1a7e823794ac69ba9df70721829d66e7196b044Olası kötü amaçlı dosya

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link