Son zamanlarda siber güvenlik manzarasında sofistike bir sosyal mühendislik tekniği ortaya çıktı ve truva atlarını, fidye yazılımlarını ve özellikle Quakbot kötü amaçlı yazılımları dağıtmak isteyen tehdit aktörleri arasında hızla çekiş kazandı.
ClickFix Captcha olarak bilinen bu teknik, geleneksel güvenlik önlemlerini atlamak ve Windows sistemlerine kötü amaçlı yükler sunmak için kullanıcıların tanıdık web öğelerine olan güvenini kullanır.
Saldırı, kullanıcılar, onları CFCAPTCHA gibi alanlarda meşru bir CAPTCHA doğrulama sayfasına yönlendiren tehlikeye atılmış veya kötü amaçlı web sitelerini ziyaret ettiğinde başlar.[.]com.
Kullanıcıların nesneleri tanımlamasını veya metin yazmasını gerektiren geleneksel captchas’ın aksine, ClickFix Captchas, kullanıcılara bilgisayarlarında Windows tuşuna + R tuşlarına basın, bunun bot olmadığını doğrulayacağını iddia eder.
Dark Atlas araştırmacıları, kullanıcılar bu talimatları izlediklerinde, farkında olmadan panolarına önceden yüklenmiş kötü amaçlı komutlar yürüttüklerini tespit ettiler.
Araştırmacılar, komutların tipik olarak PowerShell’i, meşruiyet yanılsamasını korumak için aldatıcı “doğrulama eksiksiz” mesajları görüntülerken ek kötü amaçlı kodları indirmeye ve yürütmeye çağırdığını belirtti.
Enfeksiyon zinciri özellikle sinsidir, çünkü teknik güvenlik açıklarından yararlanmak yerine ortak pencere işlevselliğini kullanır.
Kullanıcılar CAPTCHA ile etkileşime girdikten sonra Windows Key + R’ye bastığında, çalışma iletişim kutusunu açarlar ve panolarındaki kötü amaçlı komut otomatik olarak eklenir.
Bir tuş vuruşu sonra sistemden ödün verilir.
Gelişmiş enfeksiyon mekanizması
Bu saldırının teknik karmaşıklığı çok aşamalı yürütme sürecinde yatmaktadır.
Yürütme üzerine, pano enjekte edilen komut genellikle uzak bir dosyayı indiren gizlenmiş PowerShell kodu içerir.
.webp)
Bu ilk yük, Duolingos gibi saldırgan kontrollü alanlardan ek bileşenleri sessizce indirirken sahte bir doğrulama mesajı görüntüler[.]com.
.webp)
Kötü niyetli kodun analizi, algılamadan kaçınmak için tasarlanmış XOR şifreleme tekniklerini ortaya çıkardı. Şifre çözülmüş yük, ZIP dosyalarını kullanıcının AppData dizinine indirme ve çıkarma talimatları içerir.
Yakalanan bir örnek, “flswunwa.zip” alıp içeriğini çıkarma komutları gösterdi, bu da daha sonra kalıcılık oluşturacak ve potansiyel olarak hassas verileri püskürtecek.
ClickFix’i özellikle tehlikeli kılan şey, saldırganların tehlikeye atılan sunuculara yeniden yazma kurallarını ve PHP tabanlı vekilleri uygulamasıdır, bu da kötü amaçlı içeriğin gerçek kökenini gizlerken kötü amaçlı yazılım dağıtımı için sınırsız benzersiz URL’ler oluşturmalarına izin verir.