Siber Suç , Dolandırıcılık Yönetimi ve Siber Suç , Hizmet Olarak Kötü Amaçlı Yazılım
ClickFix ile Ortadaki Düşman Altyapısı Arasında Büyük Bir Geçiş Bulundu
Mathew J. Schwartz (euroinfosec) •
30 Ekim 2025
Siber suçluların ve hizmet sağlayıcılarının kötü amaçlı altyapıyı nasıl kullandığını takip etmek, siber savunuculara tehdit aktörlerinin hedeflemesine karşı mücadelede avantaj sağlayabilir.
Ayrıca bakınız: Kuruluşunuzu Güvenceye Almak İçin 57 İpucu
Birleşik Krallık merkezli proaktif tehdit istihbarat firması Lab539 tarafından saldırgan telemetrisi üzerine yakın zamanda yapılan bir araştırma, çok farklı iki hedefleme türü için kullanılan IP adreslerinde “şaşırtıcı” – ve beklenmedik – %76’lık bir örtüşme olduğunu ortaya çıkardı: Ortadaki düşman veya AiTM, yasal bir kullanıcı oturum açıyormuş gibi görünmek üzere tasarlanmış saldırıların yanı sıra, bir saldırganın web sitesinin sıklıkla tarayıcısına yapıştırdığı kötü amaçlı kodu çalıştırması için kullanıcıyı kandırmak üzere tasarlanmış ClickFix saldırıları.
Lab539 tehdit araştırmacısı John Fitzpatrick, AiTM’nin siber suçlular tarafından mağdurun ağına sızmak için kullanılan en baskın taktik olmaya devam ettiğini ve çoğunlukla kimlik avı saldırısı yoluyla yapıldığını söyledi. Diğer olağan AiTM taktikleri, kurbanı bir saldırı araç setine yönlendiren kötü amaçlı çevrimiçi reklamları veya kötü amaçlı reklamları ve güvenilir npm paketlerine bulaşmak veya popüler indirmeleri taklit etmek üzere tasarlanmış kötü amaçlı paketleri bırakmak gibi kötü amaçlı kodları geliştirme ortamlarına gizlice sokan tedarik zinciri saldırılarını içerir.
Kimlik avı kampanyaları da dahil olmak üzere tüm AiTM saldırıları, genellikle ön uç açılış sayfası için farklı altyapıyı ve kimlik avcılarının çalıntı kimlik bilgilerini kullanarak kurbanın sitesine erişmeyi denemek için kullandıkları arka uç altyapısını kullanır. Her ikisi de potansiyel olarak meşru bir sitede barındırılabilir.
Lab539, bu ön uç altyapıyı izlemeye çalışmayı “köstebek vurma”ya benzetiyor ve bunun yerine kurbanın ağına giriş yapmak için kullanılan arka uç AiTM altyapısını izleyerek bu istihbaratı müşterilere ve onların hizmet sağlayıcılarına sağlıyor. Kuruluşlar bunu, gerçek görünümlü ancak kötü niyetli oturum açma akışlarını (kimlik avcıları içerebilecek oturum açma işlemleri gibi) daha iyi anlamak ve kötü amaçlı faaliyetlere bağlı bir IP adresini ziyaret etmeye çalıştıklarında kullanıcıları engellemek yerine uyarmak için kullanabilir.
Fitzpatrick, Information Security Media Group’a şunları söyledi: “Bu, ön uç ve arka uç hakkında konuşmamızın nedenlerinden biri; çünkü içeriğe erişen veya sitelere erişen veya altyapıya erişen kişiler ile bu altyapının size erişmesi arasında gerçek bir fark var.”
ClickFix Altyapısının Araştırılması
Bir araştırma çalışması olarak Lab539, Temmuz ayında ClickFix saldırılarında kullanılan ön uç sayfalara yönelik algılamaları çalıştırmaya başladı. Fitzpatrick, ClickFix altyapısının AiTM ile karşılaştırıldığında azalmasa da göreceli bir engel olmasını beklediğini söyledi.
AiTM saldırılarından farklı olarak ClickFix saldırıları yalnızca ön uç altyapıyı kullanır; kurbanın kandırıldığı site, onlara karşı saldırıyı başlatan siteyle aynıdır. Saldırılar bu şekilde adlandırılmıştır çünkü genellikle kurbanı, sistemlerini düzeltmek için saldırgan tarafından sağlanan talimatları izlemesi gerektiğini düşündürmek için kandırmak amacıyla tasarlanmıştır. Saldırganların bir web sayfasının kullanıcının panosuna metin yapıştırma yeteneğini bozması nedeniyle ClearFake ve “yapıştır ve çalıştır” saldırıları olarak da bilinirler.
Bu tür saldırılar ilk olarak Mart 2024’te ortaya çıktı ve o zamandan beri yalnızca siber suçlarla değil, aynı zamanda ulus devlet çabalarıyla da ilişkilendirildi ve artık süreci kolaylaştırmaya yardımcı olan otomatik araç takımlarıyla birlikte, kurbanın sistemine bilgi çalan kötü amaçlı yazılım bulaştırmak için giderek daha fazla kullanıldı.
Fitzpatrick, ClickFix saldırılarının anlık bir olay olmasından ziyade, 2,5 aylık toplanan telemetriyi analiz ederken, Ağustos ayındaki büyük, açıklanamayan artış da dahil olmak üzere, bu kampanyalara bağlı ön uç altyapısıyla ilişkili 13.695 benzersiz ana bilgisayarı tespit etmenin “çok şaşırdığını” söyledi. Firma IP adreslerini araştırma raporunun yanında yayınladı.
Bu ana bilgisayarların dörtte üçü Lab539’un telemetrisinde AiTM saldırılarıyla bağlantılı olarak zaten işaretlenmişti. Firmanın raporunda, bu geçişin “muhtemelen tehlikeye atılmış bir altyapı katmanı üzerinde çalışan hizmet olarak rakip takımların çoğalmasından kaynaklandığı” belirtildi. Başka bir deyişle, her iki saldırı türünü de gerçekleştirmek isteyen saldırganlar genellikle doğrudan altyapı hizmet sağlayıcılarıyla çalışır veya bu sağlayıcılarla çalışan araç kitlerini kullanır.
Veri setini inceleyen firma, saldırıların yaklaşık 500 farklı barındırma sağlayıcısının izini süren altyapıda barındırıldığını tespit etti. Bunlardan %24’ü Cloudflare ile ilgiliydi ve bu da tahmin edilenden daha azdı; bu da içerik dağıtım ağı devinin proaktif olarak ClickFix sitelerini engellediğini ve onu uzaktan Hetzner Online, Synergy Toptan, OVH ve Interserver’ın takip ettiğini gösteriyor.
Genel olarak Cloudflare olmayan altyapıların yaklaşık %41’i (birçok küçük Sanal Özel Sunucu ve CDN sağlayıcısı dahil) birden fazla ClickFix alan adını barındırıyordu. Bu durumlarda Rumahweb, Hawk Host, Psychz Networks, PT Dewa Bisnis Digital, Bharti, New Dhaka Hardware ve FranTech Solutions liderliğindeki düşük maliyetli barındırma ve bayi ağları hakimdir.
Bölgesel olarak konuşursak, Cloudflare hariç tutulduğunda, en fazla bütçeye sahip barındırma ve bayilik hizmetlerine sahip ülkeler ABD, Almanya ve Avustralya’nın liderliğinde hakimdir; ancak Endonezya ve Brezilya’nın da üst sıralarda yer alması sürpriz oldu; bu da yerel saldırganların bölgesel sağlayıcıları kullandığını yansıtıyor olabilir.
Bulunan ClickFix altyapısının %0,7’sinin yasal hükümet, askeri veya eğitim altyapısının kötüye kullanıldığı belirlendi; bu da saldırganların siteleri veya DNS kayıtlarını ele geçirdiğini gösteriyor.
Savunma Tedbirleri
Sağlayıcılar veya bölgelerden bağımsız olarak Fitzpatrick, güvenlik ekiplerinin firmasının bulduğu 13.000’den fazla IP adresinin listesini almasını ve bunları, hiç kimsenin bu IP adreslerinden birinden oturum açamaması için Microsoft ortamlarına koşullu erişim politikası blokları eklemek için kullanmasını öneriyor.
“Ortadaki rakip ile ClickFix arasındaki önemli örtüşme göz önüne alındığında, bu yalnızca kötü bir altyapıdır ve yarın farklı bir kampanya yürütüyor olabilir” dedi. “Sonuçta, bunun çevrenize hiç dokunmasını istemezsiniz.”