Siber güvenlik araştırmacıları, Amatera adlı bir bilgi hırsızını dağıtmak için ClickFix tarzı sahte CAPTCHA’ları imzalı bir Microsoft Uygulama Sanallaştırma (App-V) komut dosyasıyla birleştiren yeni bir kampanyanın ayrıntılarını açıkladı.
Blackpoint araştırmacıları Jack Patrick ve Sam Decker geçen hafta yayınlanan bir raporda, “Saldırgan, PowerShell’i doğrudan başlatmak yerine yürütmenin nasıl başlayacağını kontrol etmek ve daha yaygın, kolayca tanınan yürütme yollarından kaçınmak için bu komut dosyasını kullanıyor.” dedi.
Bunu yaparken amaç, App-V betiğini, kötü niyetli etkinliği gizlemek için güvenilir bir Microsoft bileşeni aracılığıyla PowerShell’in yürütülmesine proxy sağlayan, arazide yaşayan (LotL) bir ikili programa dönüştürmektir.
Saldırının başlangıç noktası, kullanıcıları Windows Çalıştır iletişim kutusuna kötü amaçlı bir komut yapıştırıp çalıştırmaları için kandırmayı amaçlayan sahte bir CAPTCHA doğrulama istemidir. Ancak saldırının geleneksel ClickFix saldırılarından ayrıldığı nokta burasıdır.
Sağlanan komut, PowerShell’i doğrudan çağırmak yerine, “wscript.exe”yi kullanarak harici bir sunucudan bellek içi yükleyiciyi almak ve yürütmek için App-V ile ilişkili imzalı bir Visual Basic Komut Dosyası olan “SyncAppvPublishingServer.vbs”yi kötüye kullanır.
“SyncAppvPublishingServer.vbs” dosyasının kötüye kullanılmasının yeni olmadığını belirtmekte fayda var. 2022’de, DarkHotel ve BlueNoroff olarak takip edilen Çin ve Kuzey Kore’den iki farklı tehdit aktörünün, bir PowerShell komut dosyasını gizlice yürütmek için LOLBin istismarından yararlandığı gözlemlendi. Ancak ClickFix saldırılarında ilk kez bu gözlemleniyor.
MITRE, ATT&CK çerçevesinde “Düşmanlar, PowerShell yürütme kısıtlamalarını atlamak ve ‘karadan geçinerek’ savunma önlemlerinden kaçınmak için SyncAppvPublishingServer.vbs’yi kötüye kullanabilir” diyor. “Proxy yürütme, ‘powershell.exe’yi doğrudan çağırmaya güvenilir/imzalı bir alternatif olarak işlev görebilir.”
Sanallaştırma çözümü modern Windows Server sürümlerinin yanı sıra yalnızca Windows 10 ve Windows 11’in Enterprise ve Education sürümlerinde yerleşik olduğundan, App-V komut dosyasının kullanılması da önemlidir. Windows Home veya Pro kurulumlarında kullanılamaz.
App-V’nin bulunmadığı veya etkinleştirilmediği Windows işletim sistemlerinde, komutun yürütülmesi tamamen başarısız olur. Bu aynı zamanda kurumsal olarak yönetilen sistemlerin muhtemelen kampanyanın birincil hedefleri olduğunu da gösteriyor.
Gizlenmiş yükleyici, korumalı alan ortamlarında çalıştırılmadığından emin olmak için kontroller gerçekleştirir ve ardından genel bir Google Takvim (ICS) dosyasından yapılandırma verilerini almaya devam ederek, esasen güvenilir bir üçüncü taraf hizmetini bir çıkmaz çözümleyiciye dönüştürür.
Araştırmacılar, “Yapılandırmayı bu şekilde dışsallaştırarak, aktör, zincirin daha önceki aşamalarını yeniden konuşlandırmadan altyapıyı hızlı bir şekilde döndürebilir veya teslimat parametrelerini ayarlayabilir, operasyonel sürtünmeyi azaltabilir ve ilk enfeksiyon vektörünün ömrünü uzatabilir” dedi.
Takvim etkinliği dosyasının ayrıştırılması, bir sonraki aşamayı, başka bir PowerShell betiğini doğrudan bellekte yürütmek için ara yükleyici olarak işlev gören bir PowerShell betiği de dahil olmak üzere ek yükleyici aşamalarının alınmasına yol açar. Bu adım, “gcdnb.pbrd” gibi alanlardan bir PNG görüntüsünün alınmasıyla sonuçlanır.[.]C “Ve” Iili[.]Şifrelenmiş ve sıkıştırılmış bir PowerShell yükünü gizleyen WinINet API’leri aracılığıyla “.io”.
Ortaya çıkan betiğin şifresi çözülür, GZip’in bellekteki sıkıştırması açılır ve Invoke-Expression kullanılarak çalıştırılır, sonuçta Amatera Stealer’ı başlatmak için tasarlanmış bir kabuk kodu yükleyicisinin yürütülmesiyle sonuçlanır.
Blackpoint sözlerini şöyle tamamladı: “Bu kampanyayı ilginç kılan tek bir numara değil, her şeyin birbirine zincirlendiğinde ne kadar dikkatli düşünülmüş olmasıdır.” “Manuel kullanıcı etkileşimi gerektirmekten pano durumunun doğrulanmasına ve güvenilir bir üçüncü taraf hizmetten canlı yapılandırmanın alınmasına kadar her aşama son aşamayı güçlendirir.”
“Sonuç, yalnızca (neredeyse) tam olarak saldırganın beklediği gibi ortaya çıktığında ilerleyen bir yürütme akışıdır; bu da hem otomatik patlamayı hem de sıradan analizi önemli ölçüde zorlaştırır.”
ClickFix’in Gelişimi: JackFix, CrashFix ve GlitchFix
Açıklama, ClickFix’in geçen yıl en yaygın kullanılan ilk erişim yöntemlerinden biri haline gelmesi ve Microsoft tarafından gözlemlenen saldırıların %47’sini oluşturmasıyla geldi.
Son ClickFix kampanyaları, ücretsiz doğrulanmış rozetlere hak kazandıklarını iddia ederek sosyal medya içerik oluşturucularını hedef aldı ve onlara, sözde doğrulama sürecini tamamlamak için videolar aracılığıyla kimlik doğrulama belirteçlerini tarayıcı çerezlerinden sahte bir forma kopyalamaları talimatını verdi. Gömülü video ayrıca, kimlik doğrulama belirteçlerinin geçerli kalması için kullanıcıya “en az 24 saat boyunca çıkış yapmaması” konusunda bilgi verir.
Hunt.io’ya göre, en az Eylül 2025’ten bu yana aktif olan kampanyanın, saldırı zincirinde 115 web sayfası ve sekiz sızma uç noktası kullandığı tahmin ediliyor. Etkinliğin ana hedefleri arasında içerik oluşturucular, para kazandıran sayfalar ve doğrulama isteyen işletmeler yer alıyor; nihai amaç ise token hırsızlığının ardından hesabın ele geçirilmesini kolaylaştırmak.
Bitdefender’ın teknik çözümler direktörü Martin Zugec geçen ayki bir raporda, “ClickFix tekniğine karşı savunma yapmak benzersiz bir şekilde zordur çünkü saldırı zinciri neredeyse tamamen meşru kullanıcı eylemlerine ve güvenilir sistem araçlarının kötüye kullanılmasına dayanmaktadır.” dedi. “Geleneksel kötü amaçlı yazılımlardan farklı olarak ClickFix, kullanıcıyı ilk erişim vektörüne dönüştürerek saldırının uç nokta savunma perspektifinden zararsız görünmesini sağlar.”
ClickFix ayrıca kurbanı kendi makinelerine virüs bulaştırması için kandırmak amacıyla JackFix ve CrashFix gibi değişkenleri kullanarak sürekli olarak gelişmektedir. Operatörler, bir hedefi komut yürütmeye ikna etmek için çeşitli yöntemler kullanırken, sosyal mühendislik tekniğinin artan popülaritesi, hacker forumlarında ayda 200 ila 1.500 ABD Doları arasında reklamı yapılan ClickFix geliştiricilerinin önünü açtı.
Bu tehdit ortamının en son katılımcısı, kötü amaçlı JavaScript enjekte edilmiş güvenliği ihlal edilmiş web sitelerinin arıza yapmasına neden olan ve ardından var olmayan sorunu çözmek için bir düzeltme öneren ClickFix benzeri kampanyalar için özel olarak tasarlanmış bir trafik dağıtım sistemi (TDS) olan ErrTraffic’tir. Bu tekniğe GlitchFix adı verildi.
Hizmet olarak kötü amaçlı yazılım (MaaS), kötü amaçlı komutların yürütülmesini tetiklemek için sahte tarayıcı güncelleme uyarılarının, sahte “sistem yazı tipi gerekli” iletişim kutularının ve sahte eksik sistem yazı tipi hatalarının kullanılmasını içeren üç farklı dosya dağıtım modunu destekler. ErrTraffic’in Bağımsız Devletler Topluluğu (CIS) ülkelerinde bulunan makinelerde çalışması açıkça engellenmiştir.
Censys, “ErrTraffic yalnızca sahte bir güncelleme istemi göstermekle kalmıyor, kurbanları bir şeylerin gerçekten yanlış olduğuna inandırmak için alttaki sayfayı aktif olarak bozuyor” dedi. “Aynı zamanda her şeyin bozuk görünmesine neden olan CSS dönüşümlerini de uyguluyor.”
ClickFix, kötü amaçlı yazılım dağıtmak için ele geçirilen WordPress’teki sitelere sahte web tarayıcısı güncelleme tuzakları bulaştırdığı bilinen ClearFake kampanyasının arkasındaki tehdit aktörleri tarafından da benimsendi. ClearFake’in ClickFix kullanımı ilk olarak Mayıs 2024’te kaydedildi ve Emmenhtal Loader’ı (diğer adıyla PEAKLIGHT) sunmak için CAPTCHA zorluklarından yararlandı ve daha sonra Lumma Stealer’ı düşürdü.
Saldırı zinciri ayrıca, Binance’in BNB Akıllı Zinciri (BSC) üzerindeki akıllı sözleşmeleri kullanarak bir sonraki aşama JavaScript kodunu almak ve sonunda farklı bir akıllı sözleşmeden elde edilen ClickFix sahte CAPTCHA’sını web sayfasına enjekte etmek için EtherHiding olarak adlandırılan bilinen başka bir tekniği de kullanıyor. Aynı zamanda son aşama, halihazırda enfekte olan mağdurların yeniden enfekte olmasını da önler.
Amatera Stealer saldırısında olduğu gibi, panoya kopyalanan ClickFix komutu, jsDelivr içerik dağıtım ağında (CDN) barındırılan son veriyi elde etmek için “SyncAppvPublishingServer.vbs”yi kötüye kullanıyor. Expel’in ClearFake kampanyasına ilişkin analizi, Ağustos 2025’in sonlarından bu yana muhtemelen 147.521 kadar sisteme virüs bulaştığını gösteriyor.
Güvenlik araştırmacısı Marcus Hutchins, “Güvenlik ürünlerinin, davranışın kötü amaçlı olup olmadığına karar vermek için kullandığı birçok faktörden biri, söz konusu davranışın güvenilir bir uygulama tarafından gerçekleştirilip gerçekleştirilmediğidir” dedi. “Bu durumda, ‘SyncAppvPublishingServer.vbs’ varsayılan bir Windows bileşenidir ve dosya yalnızca TrustedInstaller (işletim sistemi tarafından dahili olarak kullanılan oldukça ayrıcalıklı bir sistem hesabı) tarafından değiştirilebilir. Bu nedenle, dosya ve davranışı tek başına normalde şüpheli olmaz.”
“Kuruluşların ve EDR’nin, SyncAppvPublishingServer.vbs’nin PowerShell’i gizli modda başlatmasını doğrudan engellemesi pek olası değildir; çünkü bu, bileşenin amaçlanan amaç için kullanılmasını engelleyecektir. Sonuç olarak, saldırganlar SyncAppvPublishingServer.vbs’deki komut satırı ekleme hatasını kötüye kullanarak güvenilir bir sistem bileşeni aracılığıyla rastgele kod çalıştırabilir.”
Expel ayrıca kampanyayı, bellek içi PowerShell kod yürütme kullanımı ve blockchain ve popüler CDN’lere olan güven sayesinde son derece karmaşık ve çok kaçamak bir kampanya olarak nitelendirdi ve böylece meşru bir hizmet olmayan herhangi bir altyapıyla iletişim kurmamasını sağladı.
Censys, daha geniş sahte CAPTCHA ekosistemini “teslimat yüzeyi olarak güvenilir web altyapısını kullanan parçalanmış, hızlı değişen bir kötüye kullanım modeli” olarak tanımladı; burada Cloudflare tarzı zorluklar, PowerShell komutlarının, VB Script’lerinin, MSI yükleyicilerinin panoya dayalı yürütülmesi ve hatta Matrix Push C2 gibi tarayıcıya özgü çerçevelere aktarım için bir kanal görevi görüyor.
Saldırı yüzeyi yönetim firması, “Bu, Web Dışında Yaşama yönünde daha geniş bir geçişle uyumludur: güvenlik temalı arayüzlerin, platform onaylı iş akışlarının ve kötü amaçlı yazılım dağıtmak için koşullandırılmış kullanıcı davranışının sistematik olarak yeniden kullanılması” dedi. “Saldırganların güvenilir hizmetlerden taviz vermelerine gerek yok; kullanıcıların ve araçların kabul etmek için eğitildikleri tanıdık doğrulama ve tarayıcı iş akışları içinde çalışarak güveni devralırlar.”