ClickFix Captcha – Infostealers, Fidye Yazılımları ve Quakbot kötü amaçlı yazılımları teslim etmek için kullanılan yeni bir teknik hacker

   Mart 31, 2025  Posted in GBHackers


Siber suçlular, dublajlı sahte captcha doğrulama sayfalarından yararlanıyor ClickFix Infostealers, fidye yazılımı ve kötü şöhretli Qakbot Bankacılık Truva atı dahil kötü amaçlı yazılım dağıtmak.

Bu teknik, kullanıcıları rutin “insan olduğunuzu doğrulayın” istemleri olarak gizlenmiş kötü amaçlı komutları yürütmeye yönlendirir.

Saldırı, kurbanları sahte bir Captcha sitesine yönlendiren bir kimlik avı sayfasıyla başlar (örn. CFCAPTCHA[.]com), burada Windows tuşuna + R’ye basmaları istenir, Ctrl + V üzerinden bir pano enjekte edilen komutu yapıştırır ve Enter ile yürütür.

Bu, Duolingos gibi saldırgan kontrollü alanlardan Qakbot gibi kötü amaçlı yazılım yüklerini indiren ve çalıştıran bir PowerShell komut dosyasını tetikler.[.]com.

Quakbot kötü amaçlı yazılımQuakbot kötü amaçlı yazılım
Powershell komutu

Gizli ve kaçınma teknikleri

Kötü amaçlı yazılım, tespit etmekten kaçınmak için xor şifreli hex dizeleri ve dinamik URL üretimi dahil katmanlı şaşkınlık kullanır.

Örneğin, Duolingos’tan İndirilen Zip dosyası (flswunwa.zip)[.]Com, Cloudflare’nin arkasında barındırıldı ve analizi hayal kırıklığına uğratmak için 404 hataları döndürdü.

Daha fazla araştırma, gerçek saldırı altyapısını maskeleyen ikincil sunuculardan yükleri almak için bir vekil olarak hareket eden PHP tabanlı bir damlalık olduğunu ortaya koydu.

Rapora göre, ilgili alanların kısmi yayından kaldırılmasına rağmen, tekniğin sosyal mühendisliğe güvenmesi sürekli etkinliği sağlar.

Quakbot kötü amaçlı yazılımQuakbot kötü amaçlı yazılım
ClickFix captcha cfcaptcha[.]com

MITER ATT & CK Hizalama ve Savunma Önerileri

ClickFix, başlangıç ​​erişim (kimlik avı), yürütme (PowerShell) ve savunma kaçakçılığı (şaşkınlık) dahil olmak üzere birden fazla Geter ATT & CK taktikleriyle hizalanır.

Riskleri azaltmak için kuruluşlar:

  • Kullanıcıları şüpheli doğrulama istemlerini tanımak için eğitin.
  • Bilinen kötü niyetli alanları engelleyin (örn. CFCAPTCHA[.]com).
  • Anormal PowerShell aktivitesini tespit edebilen uç nokta korumasını dağıtın.

Qakbot’un yeniden canlanması ve ClickFix’in uyarlanabilirliği, gelişen sosyal mühendislik tehditlerine karşı proaktif savunma ihtiyacının altını çiziyor.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link