Yayılma yöntemlerinin bir kombinasyonu, anlatısal sofistike ve kaçırma teknikleri, ClickFix Guardio Labs’ın yeni bulgularına göre, geçtiğimiz yıl boyunca yaptıklarını çıkarmak.
“Gerçek dünya virüsü varyantı gibi, bu yeni ‘ClickFixGüvenlik araştırmacısı Shaked Chen, hacker News ile paylaşılan bir raporda, “ Gerinim hızla geride kaldı ve sonuçta geçen yıl Web’i rahatsız eden meşhur sahte tarayıcı güncelleme dolandırıcılığını sildi.
“Bunu dosya indirme ihtiyacını ortadan kaldırarak, daha akıllı sosyal mühendislik taktikleri kullanarak ve güvenilir altyapı yoluyla yayarak yaptı. Sonuç-kütle sürüşten saldırılardan hiper hedefli mızrak aktarma yemlerine kadar bir enfeksiyon dalgası.”
ClickFix, potansiyel hedeflerin var olmayan bir sorunu veya captcha doğrulamasını düzeltme kisvesi altında kendi makinelerini enfekte etmek için aldatıldığı bir sosyal mühendislik taktiği için verilen addır. İlk olarak vahşi doğada 2024 başında tespit edildi.
Bu saldırılarda, kimlik avı e-postaları, sürücü-by indirmeler, kötüverizasyon ve arama motoru optimizasyonu (SEO) zehirlenmesi gibi enfeksiyon vektörleri, kullanıcıları hata mesajlarını görüntüleyen sahte sayfalara yönlendirmek için kullanılır.
Bu mesajların bir hedefi vardır: Kurbanlara, Apple macOS durumunda Windows Run iletişim kutusuna veya Terminal uygulamasına yapıştırıldığında panosuna gizlice kopyalanmış kötü amaçlı bir komutun yürütülmesine neden olan bir dizi adım izlemeleri için rehberlik.
Haksız komut, sırayla, teneffüs, uzaktan erişim truva atları ve yükleyiciler gibi çeşitli kötü amaçlı yazılımların dağıtımına neden olan çok aşamalı bir dizinin yürütülmesini tetikler, tehdidin esnekliğinin altını çizer.
Taktik o kadar etkili ve güçlü hale geldi ki, Guardio’nun bir Captchageddon dediği şeye yol açtı, hem siber suçlu hem de ulus-devlet aktörleri onu düzinelerce kampanyada kısa sürede kullandı.
ClickFix, Stealer kötü amaçlı yazılımları sunan sahte tarayıcı güncelleme açılır pencerelerine hizmet etmek için tehlikeye atılmış WordPress sitelerinden yararlanmayı içeren daha gizli bir ClearFake mutasyonudur. Clearfake daha sonra Binance’ın Akıllı Zinciri (BSC) sözleşmelerini kullanarak bir sonraki aşamalı yükü gizlemek için Etherhiding gibi gelişmiş kaçırma taktiklerini dahil etmeye devam etti.
Guardio, ClickFix’in evrimi ve başarısının, yayılma vektörleri, yemlerin ve mesajlaşmanın çeşitlendirilmesi ve tespit eğrisinin önüne geçmek için kullanılan farklı yöntemlerin, sonuçta ClearFake’i desteklediği için sürekli iyileştirmenin sonucu olduğunu söyledi.
Chen, “Erken istemler jenerikti, ancak hızla daha ikna edici hale geldiler, aciliyet veya şüphe ipuçları eklediler.” Dedi. Diyerek şöyle devam etti: “Bu ince ayarlar temel psikolojik baskıyı kullanarak uyum oranlarını artırdı.”
Saldırı yaklaşımının uyarlanmasının bazı yollarından bazıları, sahte captcha akışlarını barındırmak için Google senaryolarının kötüye kullanılması, böylece Google’ın alan adıyla ilişkili güvenden yararlanmanın yanı sıra yükü soket.io.min.js gibi meşru görünümlü dosya kaynaklarına yerleştirmeyi içerir.
Chen, “Bu ürpertici teknik listesi-şaşkınlık, dinamik yükleme, meşru görünümlü dosyalar, platformlar arası kullanım, üçüncü taraf yük teslimatı ve Google gibi güvenilir ana bilgisayarların kötüye kullanılması-tehdit aktörlerinin tespiti önlemek için sürekli olarak nasıl adapte olduğunu gösteriyor.”
Diyerek şöyle devam etti: “Bu saldırganların sadece kimlik avı yemlerini veya sosyal mühendislik taktiklerini geliştirmediklerini, aynı zamanda saldırılarının güvenlik önlemlerine karşı etkili ve esnek kalmasını sağlamak için teknik yöntemlere büyük yatırım yaptığını hatırlatıyor.”