Son aylarda, ClickFix olarak bilinen sofistike bir sosyal mühendislik tekniği, siber suçlular ve ulus devlet destekli gruplar arasında önemli bir çekiş kazanmıştır.
Bu yöntem, kullanıcılara var olmayan bir sorunu çözdüğü gibi sahte istemler sunarak geleneksel güvenlik önlemlerini etkili bir şekilde atlayarak insan psikolojisini kullanır.
ClickFix tekniği, kullanıcıları panoya kopyalayarak ve ardından Windows Run iletişim kutusuna yapıştırarak kötü niyetli PowerShell komutlarını yürütmeye kandırmayı içerir.
Bu yaklaşımın, kullanıcı adları, şifreler ve kripto para birimi cüzdanı bilgileri gibi hassas verileri yaymak için tasarlanmış kötü amaçlı yazılımların, özellikle de infostenerlerin dağıtılmasında oldukça etkili olduğunu kanıtlamıştır.
Mekanizma ve etki
ClickFix enfeksiyon zinciri tipik olarak kullanıcıların, spearphishing, kötü niyetli veya tehlikeye atılan meşru siteler gibi yöntemlerle kötü amaçlı web sitelerine yönlendirilmesiyle başlar.
Bu sitelerde, kullanıcılara sahte Recaptcha sayfaları veya Cloudflare bot koruması gibi meşru güvenlik kontrollerini taklit eden istemler sunulur.
Bu istemlerle etkileşime girdikten sonra, kullanıcının panosuna otomatik olarak kopyalanır.
Daha sonra kullanıcılara, bu komut dosyasını RUN iletişim kutusuna yapıştırmaları ve bilmeden kötü amaçlı yazılımları yürütmeleri talimatı verilir.
Bu teknik, kötü amaçlı yükü yürütmek için kullanıcı etkileşimine güvenerek otomatik savunmaları kaldırma yeteneği nedeniyle yaygın olarak benimsenmiştir.
Evlat edinme ve evrim
İlk olarak Ekim 2023’te gözlemlenen ClickFix tekniği hızla gelişti ve 2024’ün sonlarına kadar önemli küresel benimsendi.
Etkinliği, ulus devlet destekli gruplar da dahil olmak üzere çeşitli tehdit aktörlerinin Lumma Infostealer gibi kötü amaçlı yazılımları dağıtmasına yol açtı.
Yeraltı forumlarında hizmet olarak kötü amaçlı yazılım olarak satılan Lumma kötü amaçlı yazılım, tarayıcılardan ve kripto para cüzdanlarından gelen hassas verileri hedefler.
ClickFix’in artan popülaritesi, ClickFix içeriğini barındıran artan sayıda alanda belirgindir ve gelişmiş algılama ve hafifletme stratejileri ihtiyacının altını çizmektedir.
ClickFix tehdidi ile mücadele etmek için, Grup-IB gibi siber güvenlik firmaları, ClickFix sayfalarını tanımlamak ve izlemek için algılama imzaları ve avlanma kuralları geliştirdiler.
Bu çabalar, ClickFix sayfalarının karakteristik modellerini tespit etmek için benzersiz sayfa kaynak bileşenleri, alan adları ve JavaScript işlevlerini analiz etmeyi içerir.
Otomatik araçları manuel analizle birleştirerek, kuruluşlar bu gelişen tehdide karşı savunmalarını güçlendirebilir.
Ayrıca, kullanıcıları şüpheli istemlerle etkileşim ve sağlam güvenlik önlemleri sağlama riskleri konusunda eğitmek, tıklama saldırılarının etkisini azaltmaya yardımcı olabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.