ClickFix Baiting olarak bilinen sofistike bir sosyal mühendislik tekniği, siber suçlular arasında, bireysel bilgisayar korsanlarından Rusya bağlantılı APT28 ve İran’a bağlı çamurlu su gibi devlet destekli ileri kalıcı tehdide (APT) gruplara kadar çekiş kazanmıştır.
Bu yöntem, insan son kullanıcılarını siber güvenlik savunmalarındaki en zayıf bağlantı olarak hedefler ve onları görünüşte iyi huylu istemlerle kötü amaçlı komutlar yürütmeye kandırır.
Gizli bir sosyal mühendislik tehdidi ortaya çıkıyor
ClickFix kampanyaları, sağlık hizmetleri, misafirperverlik, otomotiv ve devlet sektörleri de dahil olmak üzere çeşitli endüstrileri etkiledi ve dünya çapında organizasyonel güvenlik için önemli bir tehdit oluşturdu.
.png
)
GitHub veya aldatıcı kimlik avı e -postaları gibi tanıdık platformlardan yararlanarak, saldırganlar genellikle geleneksel güvenlik önlemlerini endişe verici bir şekilde atlayan bir kötü niyetli faaliyet zinciri başlatan yükler sunar.
2025’in başlarında yürütülen Darktrace’in tehdit araştırma ekibinin soruşturmaları, ClickFix kampanyalarının karmaşık saldırı zincirine ışık tuttu.
Saldırganlar genellikle mızrak kimlik avı bağlantıları, sürücüden uzlaşmalar veya sahte captcha, kullanıcıları rutin doğrulama adımları veya hata düzeltmeleri olarak gizlenmiş kötü amaçlı URL’lere yönlendiren sahte captcha talepleri kazanırlar.
Yanlışlaştırıldıktan sonra, kurbanlar bir Windows Run iletişim kutusu açan, kötü niyetli bir PowerShell komutu yapıştıran ve bunu yürüterek Xworm, Lumma ve Asyncrat gibi kötü amaçlı yazılım ailelerinin kurulumuyla sonuçlanan aldatıcı üç aşamalı bir işlemle yönlendirilir.
Darktrace’in anomali tabanlı tespiti bu tehditleri Avrupa, Orta Doğu, Afrika ve Amerika Birleşik Devletleri’ndeki müşteri ortamlarında tanımladı.
ClickFix Saldırı Yaşam Döngüsü
9 Nisan 2025’teki belirli bir olayda, Darktrace / Network, uzlaşmış bir cihazda yeni bir PowerShell kullanıcı aracısını işaretledi, bu da uzaktan kod yürütülmesini ve daha sonra şüpheli uç noktalarla komut ve kontrol (C2) iletişimini gösterdi.
Bunu, sayısal olarak adlandırılan dosyaların indirilmesi ve 193.36.38 gibi IP’lere veri açığa çıkması için kullanılan bir kötü amaçlı yazılımın ayırt edici özelliği izledi.[.]237, birden fazla OSINT kaynağı tarafından kötü niyetli olarak onaylandı.
Rapora göre, saldırı otomatik veri çıkışında ikincil bir C2 sunucusuyla sonuçlandı, 188.34.195[.]44, ClickFix işlemlerinin hızını ve gizliliğini vurgulamak.
Otonom yanıt modunda yapılandırıldığında, Darktrace saniyeler içinde kötü niyetli uç noktalara bağlantıları başarıyla engelledi ve gerçek zamanlı tehdit muhafazasının gücünü gösterir.
Böyle bir otomasyon olmadan, manuel müdahale genellikle bu saldırıların hızlı ilerlemesine ayak uyduramaz ve hassas verilerin çalınmasına veya daha fazla ağ uzlaşmasına izin verir.
Darktrace’in uzlaşma göstergelerini (IOC’ler) ilişkilendirme ve gelişmiş izleme modeli aracılığıyla yüksek öncelikli uyarıları tetikleme yeteneği, insan hatasını önlemle sömüren ClickFix gibi gelişen taktiklerle mücadelede uyarlanabilir, anomali güdümlü siber güvenlik çözümlerine duyulan ihtiyacın altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | IOC değeri | Açıklama + Güven |
|---|---|---|
| IP adresi | 193.36.38[.]237 | C2 Sunucusu – Onaylandı Kötü niyetli |
| IP adresi | 188.34.195[.]44 | C2 Sunucusu – Onaylandı Kötü niyetli |
| IP adresi | 138.199.156[.]22 | C2 Sunucusu – Onaylandı Kötü niyetli |
| Ana bilgisayar adı | RKUAGQNMYPETVF[.]tepe | C2 Sunucusu – Onaylandı Kötü niyetli |
| Uri | /1744205184 | Olası kötü amaçlı dosya |
| Sha-256 karma | 34ff2f72c191434ce5f20bc1a7e823794ac69ba9df70721829d66e7196b044 | Olası kötü amaçlı dosya |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun