ClickFix olarak bilinen sofistike bir sosyal mühendislik tekniği ortaya çıktı ve kullanıcıları kötü amaçlı komutlar yürütmeye kandırmak için sahte Captcha doğrulama süreçlerinden yararlandı.
Bu yöntem, kullanıcıların tipik olarak çevrimiçi insan kimliğini doğrulamak için kullanılan CAPTCHA sistemlerindeki güvenden yararlanır.
ClickFix tekniği, kullanıcıları, sonuçta infosterers, fidye yazılımı ve Qakbot gibi bankacılık truva atları da dahil olmak üzere kötü amaçlı yazılımların kurulmasına yol açan bir dizi zararsız tuş vuruşuyla rehberlik etmeyi içerir.
Kullanıcı Güveninden yararlanmak
ClickFix saldırısı, tehlikeye atılmış veya kötü amaçlı bir web sitesinde aldatıcı bir açılır pencereyle başlar ve standart bir bot doğrulama mesajını taklit eder.
Kullanıcılara kimliklerini onaylamak için üç basit adımı doldurmaları istenir.
Bu adımlar, çalıştırma iletişim kutusunu açmak için Windows tuşuna + R’ye basmayı, ardından web sitesinin sanal panosundan önceden yüklenmiş kötü amaçlı kodu koşu istemine yapıştırmak için CTRL + V tuşuna basmayı içerir.
Son olarak, Enter tuşuna basın, yapıştırılmış komutu yürütür, MSHTA.EXE gibi Windows yardımcı programları aracılığıyla kötü amaçlı kodu indirip yürüterek cihazdan ödün verir.
DarkaTlas’a göre, bu teknik insan davranışını avlar ve şüpheyi artırmadan kötü niyetli yükler dağıtmak için ortak çevrimiçi etkileşimlere olan güvenden yararlanır.
Qakbot ve diğer kötü amaçlı yazılımlar
2008’de ilk keşfedilen bir bankacılık Truva atı olan Qakbot, fidye yazılımı gibi ek tehditler sunabilen çok yönlü bir kötü amaçlı yazılım haline geldi.
Ağlar içinde yanal hareketi kolaylaştıran ve ikinci aşama enfeksiyonları dağıtan bir başlangıç erişim brokeri olarak kullanılmıştır.
Qakbot’un ClickFix tekniği ile entegrasyonu, saldırganların kötü amaçlı komutlar yürütmek için kullanıcı etkileşiminden yararlanarak geleneksel güvenlik önlemlerini atlamalarını sağlar.
Bu yaklaşım, tehdidi tespit etmesini ve azaltmasını otomatik güvenlik çözümlerinin zorlaştırır.
ClickFix tekniğini kullanan saldırganlar genellikle kötü niyetli yükün gerçek doğasını gizlemek için gizleme yöntemleri kullanırlar.
Bu, şifrelenmiş dosyaların ve dinamik olarak oluşturulan URL’lerin kullanılmasını içerir, bu da güvenlik çözümlerinin kötü niyetli etkinlikleri etkili bir şekilde kara listeye almasını veya algılamasını zorlaştırır.
Örneğin, saldırganlar kötü amaçlı yazılım dağıtımı için sınırsız sayıda benzersiz URL oluşturabilir ve tehdidi izleme ve analiz etme çabalarını karmaşıklaştırabilir. PHP komut dosyalarını aracılar olarak kullanmak, daha da şaşkınlık katmanları ekler ve savunucuların saldırının kaynağını tanımlamasını zorlaştırır.
Şu anda, ilişkili alanları alıp kötü niyetli içeriği kaldırarak kötü amaçlı yazılım altyapısını bozma çabaları devam etmektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free