Siber güvenlik araştırmacıları, geleneksel dosya indirmeleri olmadan kötü amaçlı dosyaları hedef sistemlere gizlice yerleştirmek için tarayıcı önbellek kaçakçılığından yararlanan ClickFix saldırı tekniğinin gelişmiş bir evrimini keşfettiler.
Bu gelişmiş sosyal mühendislik kampanyası, sahte Fortinet VPN uyumluluk sayfaları aracılığıyla özellikle kurumsal kullanıcıları hedef alıyor ve tehdit aktörlerinin tespit edilmekten kaçınmak için yöntemlerini sürekli olarak nasıl uyarladıklarını gösteriyor.
Yeni tanımlanan kampanya, genellikle uzak sunuculardan kötü amaçlı komut dosyalarının indirilmesine dayanan geleneksel ClickFix türlerinden önemli bir farklılığı temsil ediyor.
Bunun yerine saldırganlar, kötü amaçlı içeriği yürütmeden önce kurbanların makinelerine önceden konumlandırmak için tarayıcı önbellekleme mekanizmalarından yararlanan ustaca bir yöntem geliştirdi.
Saldırı, kurumsal ağlara ilk erişim elde etmek için Fortinet’in VPN çözümlerinin yaygın kurumsal kullanımından yararlanan, Fortinet VPN Uyumluluk Denetleyicisi kılığına giren ikna edici bir kimlik avı tuzağıyla başlıyor.
Kullanıcılar kötü amaçlı web sayfasını ziyaret ettiğinde meşru bir uyumluluk doğrulama arayüzü gibi görünen bir arayüzle karşılaşırlar. Sayfada, zararsız bir ağ dosyası yoluna benzeyen bir metin alanı görüntülenir: “\Public\Support\VPN\ForticlientCompliance.exe”.
Bununla birlikte, metin kutusuna veya “Dosya Gezgini’ni Aç” düğmesine tıklamak, çok daha uzun, dikkatlice hazırlanmış bir PowerShell komutunu otomatik olarak panoya kopyalar ve kötü amaçlı kısım, baştaki 139 boşlukla gizlenir.
Komutun görünür kısmı zararsız görünür ve yalnızca önünde bir PowerShell açıklama simgesinin (#) bulunduğu beklenen dosya yolunu gösterir.
Bu akıllı gizleme tekniği, kullanıcıların içeriği Windows Gezgini’nin adres çubuğuna yapıştırdıklarında yalnızca görünüşte meşru dosya yolunu görmelerini, gerçek kötü amaçlı PowerShell komut dosyasının ise görünür alanın üzerinde gizli kalmasını sağlar.
Önbellek Kaçakçılığı: Teknik Yenilik
Bu saldırının temel yeniliği, kötü amaçlı yükü dağıtmak için önbellek kaçakçılığının kullanılmasında yatmaktadır. Saldırı, dosyaları geleneksel HTTP istekleri yoluyla indirmek yerine, isteğe bağlı verileri yerel olarak depolamak için tarayıcının doğal önbelleğe alma davranışını kullanır.
Kurbanlar kimlik avı sayfasını ziyaret ettiğinde, gizlenmiş JavaScript kodu, uygun HTTP İçerik Türü başlığını ayarlayarak kendisini JPEG görüntüsü olarak sunan belirli bir URI’den verileri otomatik olarak getirir.
Ancak sözde görüntü dosyasının analizi, dosyanın uygun JPEG başlıklarından yoksun olduğunu ve bunun yerine “bTgQcBpv” ve “mX6o0lBw” benzersiz sınırlayıcı dizeleri arasına sarılmış sıkıştırılmış bir ZIP arşivi içerdiğini ortaya koyuyor.
Tarayıcı, dosya indirme işlemlerini izlemek için tasarlanmış güvenlik kontrollerini tetiklemeden kötü amaçlı yükü bilmeden yerel olarak depolayarak bu sahte görüntüyü görev bilinciyle önbelleğe alır.
Gizli PowerShell betiği daha sonra tarayıcının önbellek dizininde arama yapan ve özellikle Chrome’un önbellek dosyalarını hedef alan karmaşık bir rutini çalıştırır.
Düzenli ifadeler kullanarak, önbelleğe alınmış “görüntü” verilerini bulur, sınırlayıcı dizeleri kullanarak gömülü ZIP arşivini çıkarır ve bunu “ComplianceChecker.zip” olarak diske yazar.
Komut dosyası daha sonra içerilen kötü amaçlı yazılımı ayıklayıp çalıştırır ve bulaşma sürecini tamamen yerel olarak önbelleğe alınmış içerik aracılığıyla tamamlar.
Güvenlik Etkileri
Bu önbellek kaçakçılığı tekniği, geleneksel güvenlik çözümleri için önemli zorluklar sunmaktadır. Birçok uç nokta koruma platformu, kötü amaçlı etkinlikleri algılamak için dosya indirmeleri ve PowerShell web isteklerini izler, ancak bu saldırı her iki algılama vektörünü de atlatır.
PowerShell kısıtlamalarının mümkün olmadığı durumlarda, şüpheli PowerShell yürütmesinin gelişmiş izlenmesi ve ClickFix dolandırıcılıklarına ilişkin kullanıcı eğitimi kritik hale gelir.
Açık bir indirme gerçekleşmediğinden ve PowerShell betiği internet bağlantısı kurmadığından, kötü amaçlı etkinlik geleneksel izleme sistemlerini aşabilir.
Saldırının karmaşıklığı, teknik yeniliğin ötesine geçerek dikkatli bir sosyal mühendisliği de içeriyor. Saldırganlar, Fortinet’in VPN uyumluluk araçlarını taklit ederek ve mevcut ağ kaynaklarına referans veriyor gibi görünen komutlar sunarak kurban şüphesini azaltır ve başarılı yürütme olasılığını artırır.
Başarılı bir uzlaşma, saldırganlara kurumsal ağlarda değerli dayanaklar sağlayabileceğinden, kurumsal odaklanma özellikle endişe vericidir.
Kuruluşların bu tehdide karşı koymak için çeşitli savunma önlemleri uygulaması gerekir. Güvenlik ekipleri, tarayıcı önbellek dizinlerine erişen olağandışı işlemleri izlemeli ve PowerShell kullanımını meşru amaçlarla buna ihtiyaç duyan kullanıcılarla sınırlandırmalıdır.
Ayrıca, güvenli web ağ geçitleri ve DNS filtreleme, bu karmaşık kimlik avı sayfalarını barındıran kötü amaçlı alanlara erişimin engellenmesine yardımcı olabilir.
ClickFix saldırılarında önbellek kaçakçılığının ortaya çıkması, sosyal mühendislik tekniklerinin süregelen gelişimini gösteriyor ve temel tarayıcı davranışlarından yararlanan yeni saldırı vektörlerini hesaba katan uyarlanabilir güvenlik stratejilerine olan ihtiyacın altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.