ClickFix saldırıları geçtiğimiz yıl dramatik bir artış göstererek kendilerini modern sosyal mühendislik taktiklerinin temel taşı haline getirdi.
Bu karmaşık saldırılar, aldatıcı kopyala-yapıştır mekanizmaları yoluyla kurbanları doğrudan cihazlarında kötü amaçlı kod çalıştırmaya yönlendiriyor.
Tehdit, geleneksel e-posta tabanlı kimlik avının ötesine geçerek artık zehirli arama sonuçları ve geleneksel güvenlik kontrollerini atlayan kötü amaçlı reklam kampanyaları da dahil olmak üzere birden fazla dağıtım kanalından yararlanıyor.
ClickFix’in en son yinelemesi, karmaşıklıkta önemli bir artışı temsil ediyor. Saldırganlar, Cloudflare gibi meşru hizmetleri taklit eden, yerleşik eğitici videolar, geri sayım sayaçları ve gerçek zamanlı kullanıcı sayaçlarıyla tamamlanan, oldukça ikna edici sahte doğrulama sayfaları geliştirdi.
Bu unsurlar, mağdurlara doğrulama sürecini şüpheye yer bırakmadan tamamlamaları konusunda baskı yapan özgün bir görünüm oluşturmak için birlikte çalışır.
Sayfalar kullanıcının işletim sistemine dinamik olarak uyum sağlayarak Windows, Mac ve diğer sistemler için platforma özel talimatlar sunar.
Push Security araştırmacıları, bu gelişmiş kampanyanın bugüne kadar gözlemlenen en gelişmiş ClickFix çeşidi olduğunu belirledi.
Saldırı zinciri, kötü amaçlı kodu, manuel seçim gerektirmeden JavaScript aracılığıyla kurbanın panosuna otomatik olarak kopyalayarak olağanüstü bir teknik karmaşıklık sergiliyor.
Microsoft’un 2025 Dijital Savunma raporuna göre, ClickFix saldırıları artık tüm ilk erişim yöntemlerinin %47’sini oluşturuyor ve bu da onları, kuruluşları hedef alan siber suçlular için en yaygın giriş noktası haline getiriyor.
Birincil dağıtım mekanizması e-postadan önemli ölçüde uzaklaştı. Araştırmalar, beş ClickFix sayfasından dördüne, zehirli arama sonuçları veya kötü amaçlı reklam kampanyaları yoluyla Google Arama üzerinden erişildiğini gösteriyor.
.webp)
Saldırganlar, güvenlik açıklarını barındırarak meşru web sitelerini tehlikeye atar veya belirli arama terimlerini hedefleyen optimize edilmiş kötü amaçlı siteler oluşturur.
Bu e-posta dışı dağıtım yaklaşımı, e-posta ağ geçidi katmanında uygulanan geleneksel kimlik avı önleme kontrollerini etkili bir şekilde atlar.
ClickFix kampanyaları tarafından kullanılan tespitten kaçınma teknikleri arasında, engellenen listelerden kaçınmak için alan adı rotasyonu, otomatik analizi önleyen bot koruma hizmetleri ve imza tabanlı tespit sistemlerinden kaçmak için tasarlanmış, yoğun şekilde gizlenmiş sayfa içeriği yer alır.
Kötü amaçlı kod, tarayıcı sanal alanı içinde kopyalandığından, güvenlik araçları, eylemi yürütmeden önce gözlemleyemez veya işaretleyemez; kurbanlar komutları çalıştırmayı denedikten sonra kalan tek savunma katmanı olarak uç nokta algılama ve yanıt sistemleri kalır.
Gelişmiş Yük Yürütme ve Kaçınma Mekanizmaları
ClickFix veri yüklerinin teknik olarak yürütülmesi, meşru sistem ikili dosyalarının işletim sistemleri genelinde kötüye kullanılmasında artan karmaşıklığı göstermektedir.
.webp)
Mshta ve PowerShell baskın saldırı vektörleri olmayı sürdürürken, tehdit aktörleri artık farklı hizmetleri hedef alan çok çeşitli Karada Yaşayan İkili Dosyalardan (LOLBIN’ler) yararlanıyor.
En yeni varyantlar, JPG görüntüleri olarak gizlenen kötü amaçlı dosyaları önbelleğe almak için ClickFix yöntemini JavaScript ile birleştiren önbellek kaçakçılığı tekniklerini kullanır ve harici PowerShell web istekleri olmadan yerel yürütmeye olanak tanır.
Saldırı, kötü amaçlı yükü yüklemeden önce düğmeye basmak gibi etkileşim gerektiren, kullanıcı tarafından başlatılan yapıştırma olayları yoluyla gerçekleştirilir ve bu da geleneksel pano engelleme önlemlerini etkisiz hale getirir.
Güvenlik araştırmacıları, Win+R iletişim kutusunu devre dışı bırakmanın veya Dosya Gezgini adres çubuğu uygulamalarını kısıtlamanın, saldırganların komutları yürütmek için alternatif meşru hizmetlerden yararlanabilmesi nedeniyle sınırlı koruma sağladığını belirtti.
Tarayıcı ve uç nokta ortamları arasında köprü kuran hibrit saldırı yolu, ClickFix’i potansiyel olarak EDR çözümlerinden tamamen kaçan tamamen tarayıcı tabanlı saldırılara dönüşecek şekilde konumlandırıyor ve bu tehdit vektörü için endişe verici bir gelecek gidişatını temsil ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
