Popüler öğrenci katılım platformu IClicker’ın web sitesi bir ClickFix saldırısından ödün verildi. Sahte bir “Ben bir robot değilim” kontrolü, kullanıcıları kötü amaçlı yazılım yüklemeye çalıştırdı. Kimin etkilendiğini ve nasıl güvende kalacağını öğrenin.
İClicker adlı birçok üniversitede kullanılan popüler bir dijital sınıf yakın zamanda bilgisayar korsanları tarafından hedeflendi. Macmillan’ın sahibi olduğu bu araç, öğretmenlerin katılımı izlemesine ve öğrencilere sınıftaki sorular sormasına yardımcı olur. Michigan Üniversitesi ve Florida Üniversitesi de dahil olmak üzere ABD genelinde milyonlarca öğrenci ve binlerce öğretmen IClicker kullanıyor.
Michigan Üniversitesi’nin güvenli bilgi işlem ekibinin danışmanlığına göre, 12-16 Nisan 2025 arasında, iClicker web sitesi tehlikeye atıldı, sitenin ziyaretçilerine sahte bir captcha gösterdi ve onlardan “Ben bir robot değilim” tıklamalarını istedi.
Bir Windows kullanıcısı bu sahte kontrolü tıkladığında, cihazlarına gizli bir PowerShell komutu kopyalandı. Bilgisayarlarında özel bir pencere açmaları istendi (Windows tuşuna ve ‘R’ harfine aynı anda basmaları, bu komutu yapıştırmaları (CTRL ve ‘V’ tuşuna basarak) yapmaları ve ardından Enter tuşuna basın. Bunu yapmak gizli komutu çalıştırır.
ClickFix saldırısı olarak bilinen bu hile, insanları kötü amaçlı yazılım indirmeye kandırmanın bir yoludur. Bir Reddit kullanıcısı bu komutu herhangi birinde test etti. Normal bir bilgisayar kullanan gerçek bir kişi olsaydı, talimatlar, saldırgana cihaz üzerinde tam kontrol sağlayabilecek kötü amaçlı yazılım indirir.
Bu kötü amaçlı yazılım muhtemelen kullanıcı adları, şifreler, kredi kartı detayları ve hatta bilgisayarda depolanan kripto para cüzdanı bilgileri gibi kişisel bilgileri çalmak için tasarlanmıştır.
Ziyaretçinin güvenlik uzmanları tarafından kötü amaçlı yazılımları analiz etmek için kullanılan bir sistem olması durumunda, gizli komut bunun yerine saldırganların algılamadan kaçabilmesi için Microsoft’tan zararsız bir program indirecektir.
Güvenlik bülteninde ICLicker, ana sisteminin ve kullanıcı bilgilerinin güvenli olduğunu doğruladı ve üçüncü bir tarafın kullanıcılar giriş yapmadan önce web sitelerine sahte bir güvenlik kontrolü koyduğunu açıkladı.
Hackread.com tarafından daha önce bildirildiği gibi, ClickFix siber güvenlik dünyasında artan bir endişe haline geldi. Mart 2024’te, TA571 ve ClearFake gibi siber suç gruplarının tıklama fix saldırılarının artan kullanımını bildirdik. Daha sonra, Ekim 2024’te güvenlik firması Sekoia, kötü amaçlı yazılımları yaymak için sahte Google Meet, Chrome ve Facebook sayfalarını kullanarak daha fazla tıklama saldırısı gözlemledi.
Son zamanlarda, Nisan 2025’te Hackread.com, Kuzey Kore, İran ve Rusya gibi ülkelerden hükümet destekli hack gruplarının bu yöntemi casusluk operasyonlarında kullandığını ve hatta kendinizi ClickFix saldırılarından nasıl koruyacağınız hakkında ayrıntılı bir blog yazısı yayınladığını bildirdi.
IClicker, Web sitelerini 12 ve 16 Nisan tarihleri arasında ziyaret eden herkese tavsiyelerde bulunur ve IClicker şifresi de dahil olmak üzere bilgisayarlarında kaydedilen tüm şifreleri hemen değiştirmek için sahte güvenlik kontrolünü tıklatır ve hesap güvenliğini en üst düzeye çıkarmak için bir şifre yöneticisi kullanır. Yalnızca iClicker mobil uygulamasını kullanan veya sahte güvenlik kontrolünü görmeyen kişiler bu özel saldırıdan güvende.
Cloud Range CEO’su ve kurucusu Debbie Gordon, “Bu olay, saldırganların bir Captcha’yı tıklamak gibi basit bir kullanıcı etkileşimini tam bir uzlaşmaya dönüştürebileceğini gösteren geliştirme hakkında yorumladı.
“Asıl soru şudur: Ekibiniz ne kadar hızlı tespit edip içerebilir? Bu, olay tepkisine hazır olmanın özüdür. Simülasyon tabanlı eğitim, savunuculara davranışsal kırmızı bayrakları tespit etmek, etkili bir şekilde araştırmak ve küçük lapsler büyük ihlaller haline gelmeden önce muhafaza eylemlerini koordine etmek için ihtiyaç duydukları kas belleğini verir.”