McAfee Labs’daki siber güvenlik araştırmacıları, “ClickFix” enfeksiyon zinciri adı verilen, kötü amaçlı yazılım dağıtımının yeni ve gelişmiş bir yöntemini ortaya çıkardı.
Bu yeni saldırı stratejisi, ileri düzey sosyal mühendislik tekniklerinden yararlanarak, şüphelenmeyen kullanıcıları kötü amaçlı komut dosyalarını çalıştırmaya yönlendiriyor ve ciddi güvenlik ihlallerine yol açıyor.
Bu makalede ClickFix yönteminin incelikleri, etkileri ve kullanıcıların kendilerini korumak için atabilecekleri adımlar ele alınmaktadır.
ClickFix Enfeksiyon Zinciri
ClickFix enfeksiyon zinciri, kullanıcıların görünüşte meşru ama güvenliği ihlal edilmiş web sitelerini ziyaret etmeye ikna edilmesiyle başlar.
Bu web siteleri, gerçek görünmek için titizlikle hazırlanmıştır ve kullanıcı uyumunun olasılığını önemli ölçüde artırır. Bu siteleri ziyaret eden kurbanlar, sahte açılır pencereler barındıran etki alanlarına yönlendirilir.
Bu açılır pencereler, kullanıcılara bir komut dosyasını PowerShell terminaline (görev otomasyonu ve yapılandırma yönetimi için kullanılan bir komut satırı kabuğu) yapıştırmaları talimatını verir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Komut dosyası yapıştırılıp PowerShell terminalinde yürütüldüğünde, kötü amaçlı yazılım kurbanın sistemine sızabilir. Bu, veri hırsızlığına, sistem ihlaline veya kötü amaçlı yazılımın daha fazla yayılmasına yol açabilir.
Bu yöntemin karmaşıklığı, kullanıcıların görünüşte gerçek web sitelerine ve istemlere duyduğu güveni istismar edebilme yeteneğinde yatmaktadır.
ClickFix’i Kullanan Kötü Amaçlı Yazılım Aileleri
Lumma Stealer ve DarkGate adlı iki önemli kötü amaçlı yazılım ailesinin ClickFix tekniğini kullandığı gözlemlendi.
Lumma Stealer, bulaştığı sistemlerden şifreler, kredi kartı bilgileri ve diğer kişisel veriler gibi hassas bilgileri çıkarabilme yeteneğiyle biliniyor.
DarkGate ise hassas bilgileri çalan, uzaktan erişim sağlayan ve ele geçirilmiş sistemlerde kalıcı arka kapılar oluşturan daha gelişmiş bir tehdittir.
DarkGate gelişmiş kaçınma taktikleri kullanır ve bu da tespit edilmesini ve kaldırılmasını zorlaştırır. Ağlar içinde yayılabilir ve önemli bir siber güvenlik tehdidi oluşturabilir.
Bu kötü amaçlı yazılım ailelerinin ClickFix tekniğiyle birleştirilmesi, siber güvenlik uzmanları için zorlu bir meydan okumayı temsil ediyor.
Kimlik Avı E-postalarının Rolü
McAfee Labs, spamtrap’lerinden Word belgesi gibi görünen bir HTML eki içeren bir kimlik avı e-postası aldı. Kimlik avı e-postaları ClickFix enfeksiyon zincirinde önemli bir rol oynar.
HTML dosyası, kullanıcıları kötü amaçlı yazılımların indirilmesine ve çalıştırılmasına yol açabilecek eylemlerde bulunmaya yönlendirmek için tasarlanmış bir hata istemi görüntüledi.
Kimlik avı e-posta taktiği, kullanıcıların yaygın dosya türleri ve hata mesajlarına ilişkin bilgisini istismar ettiği için özellikle etkilidir.
Görünüşte meşru bir sorun sunarak ve bir çözüm önererek saldırganlar, kullanıcıların talimatları izlemesi ve istemeden kötü amaçlı betiği çalıştırması olasılığını artırır.
Teknik Analiz
HTML ekindeki kodu inceleyen araştırmacılar, base64 kodlu birkaç içerik bloğu keşfettiler. Bu bloklar, kullanıcıların PowerShell terminallerine yapıştırmaları talimatı verilen kötü amaçlı betiği içeriyordu.
Komut dosyası çalıştırıldığında kötü amaçlı yazılımın indirilmesi ve kurulması süreci başlar.
Kötü amaçlı betiği kodlama ve gizleme yöntemi, saldırganların karmaşıklığının bir kanıtıdır. Betiğin gerçek doğasını kodlanmış bloklar içinde gizleyerek, otomatik güvenlik sistemlerinin tehdidi algılamasını ve engellemesini daha da zorlaştırırlar.
ClickFix’e Karşı Koruma
ClickFix enfeksiyon zincirine ve benzeri tehditlere karşı korunmak için kullanıcılar şu en iyi uygulamaları izlemelidir:
- E-postalar ve Ekler Konusunda Dikkatli Olun:Herhangi bir e-posta ekini açmadan önce, özellikle beklenmedik veya bilinmeyen kaynaklardan geliyorsa, mutlaka gönderenin kimliğini doğrulayın.
- Komut Dosyalarını Yapıştırmaktan Kaçının: Güvenilir olmayan kaynaklardan gelen komutları veya betikleri asla terminalinize veya komut isteminize yapıştırmayın.
- Güvenlik Yazılımı Kullanın: Güvenlik yazılımınızın güncel olduğundan ve gelişmiş tehditleri algılayıp engelleyebildiğinden emin olun.
- Kendinizi ve Başkalarını Eğitin: En son siber güvenlik tehditleri hakkında bilgi sahibi olun ve başkalarını çevrimiçi ortamda güvende kalmak için riskler ve en iyi uygulamalar hakkında eğitin.
ClickFix enfeksiyon zincirinin keşfi, siber tehditlerin sürekli gelişen doğasını ve dijital çağda dikkatli olmanın önemini vurguluyor.
Saldırganların kullandığı taktikleri anlayarak ve kendilerini korumak için proaktif önlemler alarak kullanıcılar, bu karmaşık sosyal mühendislik planlarının kurbanı olma riskini azaltabilirler.
Siber güvenlik tehditleri giderek daha karmaşık hale geldikçe, bilgili ve dikkatli olmak her zamankinden daha kritik hale geliyor.
Tehlike Göstergeleri (IoC’ler)
Dosya | SHA256 |
Karanlık Kapı | |
E-posta | c5545d28faee14ed94d650bda28124743e2d7dacdefc8bf4ec5fc76f61756df3 |
HTML | 0db16db812cb9a43d5946911501ee8c0f1e3249fb6a5e45ae11cef0dddbe4889 |
HTA | 5c204217d48f2565990dfdf2269c26113bd14c204484d8f466fb873312da80cf |
Not: | e9ad648589aa3e15ce61c6a3be4fc98429581be738792ed17a713b4980c9a4a2 |
Posta kodu | 8c382d51459b91b7f74b23fbad7dd2e8c818961561603c8f6614edc9bb1637d1 |
AutoIT betiği | 7d8a4aa184eb350f4be8706afb0d7527fca40c4667ab0491217b9e1e9d0f9c81 |
Lumma Hırsızı | |
URL | Tuchinehd[.]com |
Not: | 07594ba29d456e140a171cba12d8d9a2db8405755b81da063a425b1a8b50d073 |
Posta kodu | 6608aeae3695b739311a47c63358d0f9dbe5710bd0073042629f8d9c1df905a8 |
EXE | e60d911f2ef120ed782449f1136c23ddf0c1c81f7479c5ce31ed6dcea6f6adf9 |
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo