Olarak bilinen kötü amaçlı yazılım Latrodectus dağıtım vektörü olarak ClickFix adlı yaygın olarak kullanılan sosyal mühendislik tekniğini benimseyen en son kişi oldu.
Hacker News ile paylaşılan bir raporda Expel, “ClickFix tekniği özellikle risklidir, çünkü kötü amaçlı yazılımın diske yazılmak yerine bellekte yürütülmesine izin veriyor.” Dedi. “Bu, tarayıcıların veya güvenlik araçlarının kötü amaçlı yazılımları algılaması veya engellemesi için birçok fırsatı ortadan kaldırır.”
Icedid’in halefi olduğuna inanılan Latrodectus, fidye yazılımı gibi diğer yükler için indirici görevi gören bir kötü amaçlı yazılım için verilen addır. İlk olarak Nisan 2024’te Proofpoint ve Team Cymru tarafından belgelendi.
Bu arada, kötü amaçlı yazılım, dünya çapında 300 sunucuyu düşüren ve 19 Mayıs ve 22, 2025 Mayıs tarihleri arasında Bumblebee, Lactrodectus, Qakbot, Hanjackroader, Danabot, Hile Bot ve Warmcookie ile ilgili 650 alanını nötralize eden Operasyonel Oyun Operasyonu’nun bir parçası olarak operasyonel bir aksilikten biridir.
Mayıs 2025’te Expel tarafından gözlemlenen en son Latrodectus saldırıları setinde, şüphesiz kullanıcılar, enfekte olmuş bir web sitesinden bir PowerShell komutunu kopyalamak ve yürütmek için kandırılır, bu da çok çeşitli kötü amaçlı yazılımları dağıtmak için yaygın bir yöntem haline gelen bir taktik.
Exel, “Bir kullanıcı tarafından çalıştırıldığında, bu komutlar MSIExec kullanarak uzak URL’de bulunan bir dosya yüklemeye çalışacak ve ardından bellekte yürütmeye çalışacaktır.” Dedi. “Bu, saldırganın dosyayı bilgisayara yazması ve tarayıcı veya diskte algılayabilecek bir antivirüs tarafından algılanma riskini almasını önler.”
MSI yükleyicisi, kötü amaçlı bir DLL kenar yüklemek için kullanılan NVIDIA’dan meşru bir uygulama içerir, bu da daha sonra ana yükü indirmek için curl kullanır.
Bu tür saldırıları azaltmak için, Grup İlkesi Nesneleri (GPO’lar) kullanarak Windows Run programını devre dışı bırakmanız veya bir Windows kayıt defteri değişikliği yoluyla “Windows + R” sıcak tuşunu kapatmanız önerilir.
ClickFix’ten Tiktok’a
Açıklama, trend micro, sahte captcha sayfalarına güvenmek yerine, kullanıcılara Windows, Microsoft ofisi etkinleştirmek için sistemlerinde kötü niyetli komutlar çalıştırma talimatı vererek yapay zeka (AI) araçları kullanılarak üretilen tiktok videolarını kullanan yeni bir mühendislik kampanyasının ayrıntılarını açıkladı.
Bu videolar @GitLowed, @Zane.Houghton, @Allaivo2, @sysglow.wow, @AlexFixpc ve @digitaldreams771 gibi çeşitli Tiktok hesaplarından yayınlandı. Bu hesaplar artık aktif değil. “Spotify deneyiminizi anında artıracağınızı” nasıl artıracağına dair talimatlar sağladığını iddia eden videolardan biri, 20.000’den fazla beğeni ve 100’den fazla yorumla yaklaşık 500.000 görüntüleme topladı.
Kampanya, korsan uygulamaları etkinleştirmenin yollarını arayan kullanıcıların, “Windows + R” sıcak tuşuna basarak, PowerShell’i başlatıp videoda vurgulanan komutu çalıştırarak, sonuçta kendi sistemlerini tehlikeye atarak sözlü ve görsel olarak yönlendirildikleri için yeni bir ClickFix artışını işaret ediyor.
Güvenlik araştırmacısı Junestherry Dela Cruz, “Tehdit aktörleri, kullanıcıları sosyal olarak mühendislik yapmak için PowerShell komutlarını meşru yazılımı etkinleştirmek veya premium özelliklerin kilidini açmaya yönlendirme kisvesi altında yürütme konusunda yapay zeka ile çalışan araçlar kullanılarak potansiyel olarak oluşturulan Tiktok videolarını kullanıyor.” Dedi.
“Bu kampanya, saldırganların hangi sosyal medya platformlarını kötü amaçlı yazılım dağıtmak için popüler olursa olsun nasıl silahlandırmaya hazır olduklarını vurgulamaktadır.”
Mac kullanıcılarının tohum cümlelerini çalmak için kullanılan sahte defter uygulamaları
Bulgular ayrıca, kurbanların kripto para cüzdanlarını boşaltmak amacıyla, tohum cümleleri de dahil olmak üzere hassas verileri çalmak için Ledger Live uygulamasının klonlanmış bir versiyonundan yararlanan dört farklı kötü amaçlı yazılım kampanyasının keşfini takip ediyor. Etkinlik Ağustos 2024’ten beri devam etmektedir.
Saldırılar, başlatıldığında, şifreleri ve Apple Notes verilerini eklemek için Applescript’i başlatan ve daha sonra Ledger Live’ın truva atlı bir sürümünü indiren kötü amaçlı DMG dosyalarından yararlanır. Uygulama açıldıktan sonra, kullanıcıları sözde bir hesap sorununun uyarınca uyarır ve kurtarma için tohum ifadelerini gerektirir. Girilen tohum ifadesi saldırgan kontrollü bir sunucuya gönderilir.
Kampanyaya ışık tutan Moonlock Lab, Rogue uygulamalarının, Mart 2025’te yeni kimlik avı şemasını tanıtan Atomic MacOS Stealer (Amos) ve Odyssey gibi MacOS Stealer kötü amaçlı yazılımları kullandığını söyledi. Aktivitenin, bir macOS infostjener kampanyasıyla örtüştüğünü belirtmek gerekir.
MacPaw’ın Siber Güvenlik Bölümü, “Karanlık Web Forumlarında, doygunluk karşıtı şemaların etrafında konuşuyor. Bir sonraki dalga zaten şekilleniyor.” “Bilgisayar korsanları, Ledger Live’daki Kripto Sahipleri’nden yer alan güvenden yararlanmaya devam edecek.”