.webp?w=696&resize=696,0&ssl=1 "WordPress siteleri üzerinden Netsupport Rat")
Güvenlik araştırmacıları, “ClickFix” adlı yenilikçi bir sosyal mühendislik yöntemi aracılığıyla Netsupport Uzaktan Erişim Truva atını dağıtmak için tehlikeye atılan WordPress web sitelerinden yararlanan sofistike bir siber saldırı kampanyasını ortaya çıkardılar.
Cyberseason Global Güvenlik Operasyon Merkezi (GSOC), Mayıs 2025’te kampanyayı keşfetti ve tehdit aktörlerinin mağdur bilgisayarlar üzerinde yetkisiz kontrol elde etmek için meşru uzaktan erişim araçlarını nasıl silahlandırdığını ortaya koydu.
Saldırı, siber suçlu taktiklerde önemli bir evrimi temsil eder ve web sitesi uzlaşmasını modern güvenlik savunmalarını atlamak için psikolojik manipülasyonla birleştirir.
Çok aşamalı saldırı zinciri
Kampanya, kullanıcıları tehlikeye atılan WordPress sitelerine yönlendiren oyun web sitelerinde yayınlanan kimlik avı e -postaları, PDF ekleri veya kötü amaçlı bağlantılarla başlar.
Ziyaretçiler bu enfekte olmuş sayfalara indikten sonra, web sitesinin meta açıklamasında gizlenmiş kötü amaçlı JavaScript kodu otomatik olarak yükler ve Islonline.org alanından “J.JS” adlı uzak bir komut dosyasını yürütür.
Soruşturmaya aşina olan siber güvenlik analistleri, “Saldırganlar özellikle Windows kullanıcılarını hedefliyor ve tespitten kaçınmak için mekanizmalar geliştiriyorlar” dedi.
Kötü niyetli komut dosyası önce kullanıcının işletim sistemini ve tarayıcı ayrıntılarını tanımlar, ardından pozlamayı en aza indirmek için yerel depolama izlemesini kullanmadan önce siteyi ziyaret edip etmediklerini kontrol eder.
Saldırının en yenilikçi yönü, araştırmacıların “ClickFix” tekniği dediği şeyi içerir.
İlk enfeksiyondan sonra, kurbanlara, React çerçeveleri ve kuyruk windcss kullanılarak modern stil ile tamamlanan meşru görünen sahte bir Captcha doğrulama sayfası sunuluyor.
Bununla birlikte, insan etkileşimini doğrulamak yerine, sayfa gizlice kötü niyetli bir PowerShell komutunu kullanıcının panosuna kopyalar.
Pano Kaçırma Aldatma
Sahte Captcha daha sonra kullanıcılara Windows + R tuşuna basmalarını ve “Doğrulama Kodu” nu çalıştırma iletişim kutusuna yapıştırmasını söyler.
Standart bir güvenlik kontrolünü tamamladıklarına inanan mağdurlar bilmeden Netsupport istemci yazılımını indiren ve yükleyen bir komut yürütürler.
Güvenlik araştırmacıları, “Bu teknik özellikle sinsidir, çünkü tarayıcı güvenlik kontrollerini atlarken kullanıcının Captcha zorluklarına aşinadır.
“Kullanıcı, otomatik algılama sistemlerinden kaçarak son yürütme adımını gerçekleştiriyor.” Kurulduktan sonra NetSupport istemcisi, Moldova’da bulunan komut ve kontrol sunucularına kalıcı bir bağlantı kurar.
Kötü amaçlı yazılım, kalıcılık için kayıt defteri girişleri oluşturur ve sistem yeniden başlatmalarından kurtulabilir ve saldırganların tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmesine izin verir.
Enfeksiyon sonrası faaliyetler
Başarılı bir uzlaşma saatleri içinde, tehdit aktörlerinin, alan adı bilgisayarları için Active Directory’yi sorgulamak ve dosyaları genel dizinlere aktarmak da dahil olmak üzere keşif faaliyetleri yürüttüğü gözlenmiştir.
Saldırganlar, ağ altyapısını haritalamak için “Net Grup /Etki Alanı ‘Etki Alanı Bilgisayarları’” gibi komutları yürütmek için Netsupport’un meşru uzaktan komut istemi özelliğini kullanır.
Tehdit istihbarat verilerine göre, Netsupport yöneticisi 2024’te en yaygın yedinci tehdit olarak sıralandı ve siber suçlular, kötü niyetli faaliyetleri normal BT operasyonlarıyla harmanlamak için giderek daha fazla meşru araçları tercih ediyor.
Güvenlik uzmanları, etkilenen sistemlerin derhal izole edilmesini, tehlikeye atılan hesaplar için şifre sıfırlamalarını ve tanımlanmış kötü amaçlı alanların ve IP adreslerinin engellenmesini önerir.
Kuruluşlar ayrıca tarayıcı bağlamlarında olağandışı PowerShell etkinliği ve pano manipülasyonu için izleme uygulamalıdır.
Güvenlik araştırmacıları, “Anahtar, kullanıcıların komutları Windows Run iletişim kutularına yapıştırmasını gerektiren herhangi bir talimatın son derece şüpheli olarak ele alınması gerektiğini kabul etmektir” dedi.
Web sitesi yöneticilerine, yetkisiz komut dosyası enjeksiyonları için WordPress temalarını ve eklentilerini düzenli olarak denetlemeleri tavsiye edilir.
Kampanya, saldırganların hedeflerine ulaşmak için teknik istismarlardan ziyade sosyal mühendisliğe giderek daha fazla güvendiği gelişen tehdit manzarasını vurgulamaktadır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt