Siber güvenlik araştırmacıları, tehdit aktörlerinin geleneksel dosya indirme tespit mekanizmalarından kaçınmak için önbellek kaçakçılığı tekniklerinden yararlandığı ClickFix saldırı metodolojisinin karmaşık bir evrimini ortaya çıkardı.
Bu yenilikçi kampanya, Fortinet VPN uyumluluk kontrol aracı görünümüne bürünerek kurumsal ağları hedef alıyor ve özellikle kuruluşların uzaktan erişim altyapılarına duydukları güvenden yararlanıyor.
Etki alanı fc-checker’da barındırılan kötü amaçlı web sayfası[.]dlccdn[.]com, kendisini kurumsal ortamlar genelinde VPN uyumluluğunu doğrulamak için tasarlanmış meşru bir kurumsal güvenlik aracı olarak sundu.
Saldırı, genellikle doğrudan dosya indirmeye veya açık internet iletişimine dayanan geleneksel ClickFix türlerinden önemli bir sapmayı temsil ediyor.
Bunun yerine saldırganlar, kötü amaçlı yükleri önceden tarayıcının önbellek sisteminde depolayan ve dosya indirmelerini ve ağ iletişimini izleyen birçok güvenlik kontrolünü etkili bir şekilde atlayan bir yöntem geliştirdiler.
.webp)
Expel analistleri, bu tekniğin sosyal mühendislik taktiklerinde endişe verici bir ilerleme gösterdiğini, özellikle de ağırlıklı olarak işletmeler tarafından güvenli uzaktan erişim için kullanılan Fortinet VPN istemcilerini hedef aldığını belirtti.
Bu kampanyayı özellikle tehlikeli kılan şey, kullanıcıların kurumsal ağlarında zaten mevcut olan dosyaları çalıştırıyormuş gibi görünme yeteneğidir.
Web sayfasında standart bir ağ dosyası yolu gibi görünen bir metin kutusu görüntülenir: “\\Public\Support\VPN\ForticlientCompliance.exe”.
Ancak bu meşruiyet maskesinin altında, herhangi bir harici ağ bağlantısı kurmadan tarayıcının önbelleğinden kötü amaçlı kod çıkarmak ve yürütmek için tasarlanmış karmaşık bir PowerShell yükü yatıyor.
Gizli Yük Dağıtım Mekanizması
Bu saldırının teknik gelişmişliği, yük dağıtımında yeni bir yaklaşımı temsil eden önbellek kaçakçılığı uygulamasına odaklanıyor.
Kullanıcılar kötü amaçlı web sayfasıyla etkileşime girdiğinde, gizlenmiş bir JavaScript işlevi, HTTP İçerik Türü başlığını “image/jpeg” olarak ayarlayarak kendisini meşru bir JPEG görüntüsü olarak sunan “/5b900a00-71e9-45cf-acc0-d872e1d6cdaa” adresine bir getirme isteği yürütür.
Tarayıcı bu sözde görüntü dosyasını otomatik olarak önbelleğe alır, ancak inceleme, dosyanın JPEG başlığı içermediğini ve bunun yerine benzersiz sınırlayıcı dizeler “bTgQcBpv” ve “mX6o0lBw” arasına sarılmış sıkıştırılmış bir ZIP arşivi barındırdığını ortaya çıkarır.
Pano verisi içinde gizlenen PowerShell betiği, Chrome’un önbellek dizininde şu belirli sınırlayıcıları arayan karmaşık bir normal ifade modeli içerir: $m=[regex]::Matches($c,'(?<=bTgQcBpv)(.*?)(?=mX6o0lBw)',16).
Betik, yerini tespit ettikten sonra bu işaretleyiciler arasındaki verileri çıkarır, "ComplianceChecker.zip" dosyasına yazar, arşivi çıkarır ve "FortiClientComplianceChecker.exe" dosyasını tamamen çevrimdışı olarak çalıştırır.
Bu teknik, kötü amaçlı yürütme aşamasında açık bir ağ etkinliği meydana gelmediğinden, dosya indirmelerini veya PowerShell web isteklerini izleyen güvenlik çözümlerini etkili bir şekilde atlatır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X'te Takip Edin, CSN'yi Google'da Tercih Edilen Kaynak olarak ayarlayın.
