ClickFix Sosyal Mühendislik taktiklerini kullanan yeni kötü amaçlı yazılım kampanyaları neredeyse her ay görüldüğünden, çeşitli saldırganların iki ana öğeyi nasıl geliştirmeye çalıştığını görmek ilginçtir: cazibe ve “Öğretim” sayfası.
Google Tehdit İstihbarat Grubu tarafından belgelenen en son e -posta kampanyalarında, şüpheli Rus tehdit oyuncusu, hedefleri, sahte bir Captcha sayfasını “çözmeye” ve daha sonra kötü niyetli bir PowerShell komutunu yürütecek veya fark etmeden yürütecek anahtarların bir kombinasyonuna basmaya çağırarak hedefleri kandırmaya çalıştı.
ClickFix taktiğinin Fakecaptcha varyantı olağandışı olmasa da, saldırganlar ilk kez birçok kullanıcının bu alternatif düzeni göstererek yazılı, adım adım talimatlara karşı hissettikleri konusunda çalışmaya çalışmış olabilir:
Takip etmesi kolay talimatlar. (Kaynak: GTIG)
ClickFix / Fakecaptcha yaklaşımı
ClickFix, bir web tarayıcısı içermeden kötü amaçlı yazılım sunmayı veya kullanıcıların bir dosyayı manuel olarak yürütmesini gerektiren bir taktiktir ve saldırganların e -posta ve uç nokta güvenlik çözümleriyle algılamadan kaçınmasına yardımcı olur.
Tipik bir ClickFix saldırı akışı şuna benziyor:
1) Kullanıcı, sahte bir uyarı veya sahte bir captcha testi gösterecek bir sayfayı ziyaret etmek için kandırılır
2) Sayfa, kullanıcıya bir “düzelt” düğmesine basmasını veya bir “Robot değilim” kutusunu kontrol etmesini ve bir dizi eylem gerçekleştirmesini söyler (“Talimatlar”)
3) Kötü niyetli bir PowerShell komutu indirilir ve yürütülür
Bu nispeten yeni taktik ilk olarak, sorunu çözme sözü veren sahte hata mesajları biçiminde (böylece “ClickFix” adı) alındığında ilk kez tespit edildi:
Adım adım talimatlarla hata mesajı (Kaynak: Proofpoint)
ClickFix varyantları
İlk kampanyalar hedeflenmiyordu: Saldırganlar infostalerları mümkün olduğunca çok kullanıcıya teslim etmeye çalışıyorlardı. Daha sonra, diğer tehdit aktörleri taktiği kullanmaya başladığında, birçok varyasyona tanık olmaya başladık:
ClickFix / Fakecaptcha taktikini kullanan kötü amaçlı web siteleri (Kaynak: Sekoia)
Samsara’yı taklit eden saldırganlar (Kaynak: Proofpoint)
Sahte Google, Kötü Amaçlı ClickFix Pop-up ile video konferans sayfasını karşılayın (Kaynak: Sekoia)
“Önemli Güvenlik Güncellemesi” hakkında e -posta uyarısı (Kaynak: Proofpoint)
Zamanla, saldırganlar MacOS ve Linux kullanıcıları ile aynı hileyi denediler.
Teknoloji meraklısı uzmanlara yönelik bir kampanyada, (Linux kullanan) hedeflerin bir CPU güncellemesi kurması istendi (kaynak: Datadog)
Grup-IB’ye göre, ClickFix içeriğine sahip sayfaları barındıran alan adlarının sayısı sürekli olarak artmaktadır.
Ve kuruluşların bu taktiğin başarılı olmasını önlemek için uygulayabilecekleri teknoloji odaklı korumalar olsa da, sosyal mühendislik yönü öncelikle güvenlik bilinci eğitimi ile yapılır.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!