Saldırganlar, Netsupport Rat, Latrodectus ve Lumma Stealer dahil olmak üzere güçlü kötü amaçlı yazılım ailelerini dağıtmak için ClickFix Sosyal Mühendislik Tekniğinden giderek daha fazla yararlanıyor.
Son aylarda belirgin bir şekilde ortaya çıkan bu yöntem, kullanıcıları performans aksaklıkları veya doğrulama istemleri gibi ortak bilgisayar sorunlarını çözme kisvesi altında kötü amaçlı komutlar yürütmeye yönlendirir.
Panoyu JavaScript Enjeksiyonu ile kaçırarak, Tehdit Aktörleri Meclishecting Tehdit Aktörleri olarak bilinen bir taktik, kurbanların farkında olmayan bir şekilde Run iletişim kutusu (Win+R) veya Terminal (Win+X) gibi sistem arayüzlerine yapıştıran komutları gömdü.
Doğrudan istismar veya kötü niyetli indirme olmadığı için bu geleneksel güvenlik kontrollerini atlar; Bunun yerine, kullanıcı enfeksiyonu cmd.exe veya powerShell.exe gibi güvenilir kabuklarla manuel olarak tetikler.
Palo Alto Networks ‘Birimi 42, 2025 yılında yaklaşık bir düzine olaya yanıt verdi, burada ClickFix ilk erişim vektörü olarak hizmet etti ve yüksek teknoloji ve finansal hizmetlerden üretim, kamu hizmetleri ve devlet kuruluşlarına kadar çeşitli sektörleri etkiledi.
Tekniğin sadeliği, kimlik bilgisi hırsızlığı, veri sızıntısı veya fidye yazılımı dağıtım yoluyla tam organizasyonel devralmalar sağlayarak hızlı dağıtım sağlar.
Araştırmacılar, 2025’in başından beri haftalık enfeksiyonlarda bir artış gözlemlediler, varyantlar DocuSign ve Okta gibi meşru hizmetler olarak tespit etmekten kaçınmak için maskelenmişlerdir.
Kötü amaçlı yazılım kampanyalarının derinlemesine analizi
Belirli kampanyalara girerek, Mayıs 2025’te üretken bir operasyon, Netsupport farını docusign.sa gibi alanlarda sahte açılış sayfaları aracılığıyla dağıtarak sağlık, hukuk hizmetleri, telekomünikasyon, perakende ve madencilik gibi hedeflenen endüstriler[.]com ve oktacheck.it[.]com.
Clearfake altyapısını kullandığından şüphelenilen bu yemler, tehlikeye atılan sitelere gömülü kötü amaçlı bir JavaScript çerçevesi, JP2launcher.exe içeren bir fermuar arşivi indiren kodlanmış PowerShell komutlarını, meşru bir Java çalışma zamanı ortam bileşeni enjekte eder.
Bu, daha sonra şifreli ikili dosyalardan Netsupport Rat’ı (Client32.exe) getiren ve uzaktan erişim sağlayan kötü niyetli bir DLL (msvcp140.dll) yan yükü.
Benzer şekilde, Latrodectus kampanyaları Mart’tan Nisan 2025’e kadar kampanyalar, kullanıcıları hacklenen web sitelerinden curl.exe yapıştıran doğrulama sayfalarına yönlendirerek JavaScript damlalarını indirerek ClickFix’e geçti.
Bunlar, önemsiz JSON değişkenleri ile gizlenmiş, kalıcılık ve infostealers gibi potansiyel takip yükleri için kabuk kodu enjekte ederek, serin yük libcef.dll enjekte eden MSI yüklerini alır.
Nisan 2025’te Lumma Stealer saldırıları, Iplogger gibi yazgıtlı alanlar kullanarak yoğunlaştı[.]CO Kodlanmış PowerShell komut dosyalarını getiren ve sonuçta particontinued.exe’yi dağıtan MSHTA komutları sunmak için.
Bu çıkarıcı, bir Autoit3 komut dosyası motoru (Slovenya[.]com), lumma’yı SumeriAvgv gibi C2 sunucularına kimlik bilgisi hasat ve eksfiltrasyon için bir .a3x dosyası olarak yürütmek[.]dijital.
Bu zincirler, Rusya tarafından düzenlenen senaryolardan dinamik R2.DEV ile barındırılan yüklere kadar gelişen şaşkınlığı vurgular ve otomotiv, enerji, BT ve yazılım sektörlerini etkilemektedir.
Azaltma stratejileri
Bu tehditlere karşı koymak için, tehdit avcıları RunmRU Kayıt Defteri Anahtarı (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunmRU) gibi, zorlanmamış alanlardan gizlenmiş komutları veya indirmeleri içeren şüpheli girişler için incelenebilir.
Win+X varyantları için, explorer.exe tarafından ortaya çıkarılan PowerShell.exe için olay kimliğini izleyin, Winx klasörlerine erişim ile ilişkilidir, login sonrası yüksek kabuk oturumları ve mshta.exe veya Ridedll32.ex gibi anormal çocuk işlemleri.
Pano izleme, önceki yürütmelerden önceki olayları işaretleyebilir. Palo Alto Networks’in gelişmiş orman yangını, URL filtreleme, DNS Security, Cortex XDR ve XSIAM, pano enjeksiyonlarını ve davranışsal anomalileri tespit ederek sağlam savunmalar sağlar.
Kuruluşlar, proaktif izleme uygularken kullanıcıları bu yemleri eğitmelidir. Şüpheli uzlaşmalar için birim 42’nin olay müdahale ekibiyle iletişime geçin.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge | Tanım |
|---|---|---|
| SHA256 Hashes (Lumma Stealer) | 2BC23B53B76E59D84B0175E8CBA68695A21ED74BE9327F0B6BA37EDC2DAAEEF | Particontined.exe |
| 06FE89DA25A627493EF383F1BE58C95C3C89A20BB4AF4696D82E729C75D1A7 | Boat.pst (kabin dosyası) | |
| SHA256 Hashes (Latrodectus) | 5809c889e7507d35e64ea15c7d7b22005dbf246aefddd329d4a5c5d482e7e1 | libecf.dll |
| 52E6E819720FED0D12DCC5430FF15F70B5656CBD3D5D251ABFC2DCD22783293 | PowerShell Downloader | |
| SHA256 Hashes (Netsupport Sıçanı) | 5C762FF1F604E92ECD9FD1DC5D1CB24B3AF4B4E0D25DE462C78F7AC0F897FC2D | data_3.bin (xor şifreli stager) |
| 9DCA5241822A0E9548D6C303475F94978B6EF0A016CBAE1FBA29D0AED86288 | data_4.bin (xor şifreli kabuk kodu) | |
| CBAF513E7FD4322B14ADCC34B34D793D79076AD310925981548E8D3CF886527 | msvcp140.dll (yükleyici) | |
| 506ab08d0a71610793ae2a5c4c26b1b35fd9e3c8749cd63877b03c205feeb48a | libsqlite3-0.dll | |
| 3ACC40334EF86FD0422FB386CA4FB8836C4FA0E722A5FCFA0086B9182127C1D7 | C: \ ProgramData \ SecurityCheck_v1 \ client32.exe | |
| Mutex (Netsupport sıçan) | nx0kfgspy8sdvhomjmngw | Yükleyici muteks |
| C2 Alanlar (Netsupport Sıçanı) | MH-SNS[.]com, lasix20[.]com | Komut ve kontrol alanları |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now