Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, sosyal mühendislik
Yapıştır ve koşu şemaları kullanıcıları saldırgan tarafından sağlanan kötü amaçlı kodları çalıştırmaya yönlendirir
Mathew J. Schwartz (Euroinfosec) •
19 Mart 2025
Kullanıcıları genellikle sahte bir bilgi işlem sorunu “düzelterek” kötü amaçlı yazılım yüklemeye kandırmak için tasarlanmış yaygın olarak kullanılan sosyal mühendislik taktikleri, çok sayıda kurban talep etmeye devam ediyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Araştırmacılar, ilk olarak 2023 yılında siber güvenlik firması Proofpoint tarafından ClickFix olarak tanımlanan ve aynı zamanda ClearFake olarak da bilinen taktik, şimdi Nation-State ileri kalıcı tehdit grupları tarafından kullanıldığını söyledi.
ClickFix veya Clearfake yerine, bu tür taktikleri “macun ve çalıştır” olarak adlandırmak daha doğru olabilir “, çünkü tüm yemler bir tür ‘düzeltme’ içermiyor,” diye istihbarat firması Red Canary yeni bir raporda.
Bu taktik ilk olarak Mart 2024’te ortaya çıktı ve sonunda Lummac2, HijackLoader, Netsupport Müdürü, Stealc ve CryptBot gibi finansal olarak motive edilmiş tehditlerle benimsendi. Diyerek şöyle devam etti: “Bir kullanıcının kırık bir bağlantı veya video ile sunulmasını ve ardından bunları ‘sorunu çözmek için bir kodu kopyalayıp yapıştırmaya ikna etmeyi içerebilir.”
Nation -State grupları, APT28 – aka Fancy Bear – olarak izlenen siberishan hack ekibi de dahil olmak üzere tekniği de benimsedi, ancak resmi adı Rus Ana İstihbarat Direktörlüğü’nün 26165 ünitesi.
2024 yılından bu yana, ClickFix tekniklerinin bilgi çalma kötü amaçlı yazılımlarını dağıtmak için giderek daha fazla kullanıldığını ve bu, bu tür saldırıların çoğunluğunu açıkladığını ve çoğu zaman bir Lumma enfeksiyonuna yol açtığını söyledi.
Infostealers, kripto para birimi cüzdanları, banka hesapları, VPN’ler ve yazılım geliştirme ortamları için erişim kimlik bilgileri dahil olmak üzere, herhangi bir ilgi çeken tüm veriler için enfekte olmuş bir sistemi artırmak için tasarlanmış bir kötü amaçlı yazılımdır; Hizmetler ve siteler için şifreler ve iki faktörlü kimlik doğrulama jetonları içeren tarayıcı oturum çerezleri; ve şifre yöneticileri.
Herhangi bir sistemden çalınan veriler, yüksek otomatik “günlükler bulutları” platformları ve diğer siber suç pazarlarında ve telgraf kanalları aracılığıyla satılan bir günlükte toparlanır. Bazı kullanıcılar infostaler’ları doğrudan geliştiricilerden 200 $ ‘a kadar düşük bir fiyata satın alırken, birçoğu hizmet olarak kötü amaçlı yazılım esasına göre kiralanır ve operatörler, kripto para cüzdanlarına erişmek için kimlik bilgileri de dahil olmak üzere en değerli verileri ilk reddetme hakkını alırlar.
Sadece finansal sahtekarlık için değil, aynı zamanda kurumsal sitelere ilk erişim elde etmek için bu tür verilerin yararlılığı göz önüne alındığında, kütük pazarı gelişmektedir. Çok sayıda fidye yazılımı grubu, en kaliteli “erişimler” elde etme konusunda uzmanlaşmış ilk erişim brokerleriyle ortaklık kurun veya bunları doğrudan günlük pazarlarından temin eder.
Tehdit istihbarat firması Flashpoint’in bir raporu, 2024’te 2023’ten% 33 artışla 3,2 milyar kimlik belgesinin çalındığını tahmin ediyor.
Düzinelerce teklif arasında, tanınmış infosterers sadece Lumma değil, aynı zamanda Redline, Vidar, Raccoon Stealer V2, Metastealer ve Stealc’i de içerir.
Geçen yılın sonundan bu yana, siber güvenlik firması Kaspersky’nin YouTube’da oyun hileleri aracılığıyla dağıtıldığını ve sadece VPN’ler, kripto cüzdanları, görünüm ve diğer tipik hedefler için kimlik bilgilerini almak için tasarlandığı, aynı zamanda epik, isyan, robloks ve ubisoft gibi oyun müşterileri için tasarlandığı Arcane de dahil olmak üzere yeni seçenekler ortaya çıkmaya devam ediyor.
Büyüyen Global ClickFix tehdidi
Saldırının daha önceki varyasyonları, kurbanları kötü amaçlı yazılım yüklemeye kandırmak için sahte tarayıcı güncelleme cazibesini kullandı. İlk olarak Eylül 2023 civarında tespit edilen bu saldırılar, Socgholish, Rogueraticate, Smartapesg ve ClearFake olarak izlenen farklı gruplara veya kötü amaçlı etkinlik kümelerine bağlandı ve tipik olarak bir komut ve kontrol veya C2, sunucuya kötü amaçlı yazılım indirmeyi içeriyordu.
Ekim 2023’e kadar saldırganlar, ilk olarak bir C2 sunucusu kullandıkları “Etherhiding” ü gerçekleştirme yeteneğini tanıttı ve ardından BNB akıllı zincirinde depolanan gizlenmiş bir JavaScript yükü alındı.
Saldırganlar, kullanıcılara bir sorun sergileyerek ve sunulan çözümü benimsemeye yönlendirerek taktiklerini daha da rafine ettiler. Grup-IB, “Sahte Recaptcha sayfaları ve bot koruma istemleri en yaygın kılık değiştiriyor.” Dedi.
Sekoia, bu sahte bot koruma istemleri meşru bir Cloudflare turnikesi zorluğunu taklit edebilir ve “Cloudflare güvenlik sisteminin kullanıcının IP adresinden kaynaklanan olağandışı web trafiğini tespit ettiğini” iddia edebilir.
Yapıştır ve koşu saldırıları, bir hedefin sözde gerekli kodu panosuna kopyalamasını kolaylaştırır veya bazı durumlarda, saldırganlar bir düğmeye bastıklarında kodu otomatik olarak kopyalayacaktır. Araştırmacılar, saldırganlar tarafından kullanılan istemlere örnek olarak, “düzeltmeleri” veya “ben bir robot değilim” olduğunu kanıtlamak için onları teşvik eden düğmeler yer alıyor.
Düğmeye bastıktan sonra, kurbanlara genellikle Windows’ta bir komut istemini açmak, kodda yapıştırma ve basma gibi “doğrulama adımlarını” izlemeleri talimatı verilir. Enter anahtar. Bir kurban bunu yaparsa, kötü amaçlı kod yürütülür. Bazen, Windows savunmalarını açmadan ve kötü niyetli bir Windows ikili indirmek için tasarlanmış gizlenmiş bir PowerShell betiği olacaktır. mshta.exe İndirme ve kötü amaçlı yazılım çalıştırdığında komut dosyası.
Saldırganlar tarafından kurbanları macun ve koşu saldırılarını barındıran web sayfalarına sürmek için kullanılan taktikler arasında mızrak kimlik avı e-postaları ve spam, kötü niyetli reklamcılık ve arama motoru optimizasyon zehirlenmesi bulunmaktadır. Meşru web sitelerinden ödün vermek başka bir taktiktir.
Grup-IB, geçen Ağustos 38’den geçen Eylül 104’e yükselen ClickFix sayfalarını barındıran kötü niyetli ve meşru alanlarda bir artış izlediğini söyledi. “Bu büyüyen trend, kullanıcıları aldatma ve tehdit aktörlerinin hedeflerine ulaşmalarına yardımcı olması nedeniyle tekniğin popülerlik kazandığını gösteriyor.” Dedi. “Ve vahşi doğada daha sık görülmesi bekleniyor.”