“ClickFix” olarak adlandırılan yeni tanımlanmış bir sosyal mühendislik saldırısı, kullanıcıları cihazlarında kötü amaçlı kod yürütmeye kandırmak için titizlikle hazırlanmış sahte bulutflare doğrulama sayfalarından yararlandı.
Rutin bir güvenlik kontrolü olarak gizlenen bu kimlik avı taktiği, kullanıcıları gizli PowerShell komutlarını çalıştırmaya kandırmak için Cloudflare’nin turnike captcha arayüzünün aşinalıklarından yararlanıyor.
Resmi marka ve dinamik olarak oluşturulan Ray kimlikleri ile tamamlanan meşru “İnsan Olduğunuzu Doğrula” istemi taklit ederek, ClickFix kurbanları sessiz bir kötü amaçlı yazılım dağıtımını düzenlerken yanlış bir güvenlik duygusuna sokar.
.png
)
Aldatıcı captcha arayüzü kullanıcı güveninden yararlanır
Saldırının sadeliği, geleneksel güvenlik filtrelerini atlama yeteneği ile birleştiğinde, onu Lumma gibi info-yöneticilerden Netsupport Manager gibi uzaktan erişim truva atlarına kadar değişen yükler sunmayı amaçlayan siber suçlular için güçlü bir araç haline getiriyor.
ClickFix saldırısı, bir kullanıcının sahte Cloudflare sayfasını barındıran kötü niyetli veya tehlikeye atılmış bir web sitesi ile karşılaştığında başlayarak endişe verici bir hassasiyetle gelişir.
Genellikle kötü niyetli niyetini gizlemek için gizlenmiş HTML tabanlı kimlik avı arayüzü, turnike tasarımını en küçük ayrıntıya kadar çoğaltır ve algılamayı önlemek için tüm kaynakları yerel olarak yerleştirir.
“İnsan Olduğunu Doğru Et” onay kutusuyla etkileşim üzerine, gizli bir komut dosyası, herhangi bir belirgin gösterge olmadan doğrudan kullanıcının panosuna kodlanmış bir şekilde kodlanmış bir PowerShell komutunu kopyalamak için Web API’lerini kaldırır.
Sayfa daha sonra aldatıcı talimatları görüntüler, kullanıcının Windows Run iletişim kutusunu açmak için Win+R tuşuna bastığını, pano içeriğini CTRL+V ile yapıştırmasını ve Enter’a basarak yürütmesini sağlar.
Kurbandan habersiz olarak, bu dizi, geleneksel yürütülebilir dosyaların doğrudan dahil olmadığı için antivirüs incelemesinden kaçınarak, bellekte ikincil kötü amaçlı yazılım yüklerini indirebilen ve yürütebilen kötü niyetli bir tek astar çalıştırır.
SlashNext raporuna göre, bu tekniğin PowerShell.exe veya MSHTA.EXE gibi meşru sistem kamu hizmetlerine güvenmesi, son nokta koruma sistemleri tarafından tespiti daha da karmaşıklaştırarak saldırganların tehditleri sorunsuz bir şekilde almasına ve dağıtmasına izin veriyor.
Komut yürütme
ClickFix’in etkinliği, insan davranışını ve tanıdık web güvenlik mekanizmalarına olan güvenini kullanmasıdır.
Sık sık CAPTCHA istemleri ve doğrulama adımları ile koşullandırılan internet kullanıcıları, genellikle “doğrulama yorgunluğu” olarak adlandırılan bir fenomen olan ayrıntıları incelemeden bu tür süreçlerde acele ederler.
Cloudflare’nin arayüzünün piksel mükemmel çoğaltılması, ikna edici alan adları veya tehlikeye atılmış meşru sitelerle birleştiğinde, özgünlük yanılsamasını güçlendirir.
Bir asma kilit simgesinin varlığı veya açık indirme istemlerinin olmaması gibi ince göstergeler bile, kullanıcıları saldırının talimatlarına uymaya ve görünüşte iyi huylu bir eylemi kötü amaçlı yazılım kurulumu için bir ağ geçidine dönüştürmek için yanıltabilir.
Ayrıca, saldırının yazım hatası veya hacklenen URL’ler yoluyla teslimatı, kötü amaçlı sayfa güvenilir veya tanınabilir bir alana bağlı görünebileceğinden, adres çubuğunu kontrol etmek için geleneksel tavsiyeleri zayıflatır.
ClickFix gelişmeye devam ettikçe, düşük teknoloji ürünü ama son derece ikna edici yaklaşımı web güvenliğine artan bir zorluk oluşturmaktadır.
Geleneksel filtreler, sömürülebilir güvenlik açıklarından ziyade kullanıcı etkileşimine dayanan sosyal olarak tasarlanmış tehditlere ayak uydurmak için mücadele etmektedir.
Slashnext gibi sağlayıcılardan yapay zeka ile çalışan çözümler gibi gelişmiş savunmalar, kullanıcılar ölümcül komut sırasını yürütmeden önce saldırıyı engelleyerek sahte doğrulama istemlerini ve gizli pano enjeksiyonlarını gerçek zamanlı olarak tespit ederek potansiyel bir karşı önlem sunar.
Şimdilik, kullanıcı farkındalığı ve uyanıklık, bu sinsi kimlik avı tekniğinin ortaya koyduğu riskleri azaltmak için kritik öneme sahiptir ve görünüşte meşru sayfalarda bile olağandışı doğrulama adımlarını tanıma konusunda eğitim ihtiyacının altını çizmektedir.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun