Kötü Amaçlı Yazılım Dağıtmak İçin ClickFix Sosyal Mühendislik Taktiklerini Kullanan Bilgisayar Korsanları


McAfee Labs’daki siber güvenlik araştırmacıları, “ClickFix” enfeksiyon zinciri adı verilen, kötü amaçlı yazılım dağıtımının yeni ve gelişmiş bir yöntemini ortaya çıkardı.

Bu yeni saldırı stratejisi, ileri düzey sosyal mühendislik tekniklerinden yararlanarak, şüphelenmeyen kullanıcıları kötü amaçlı komut dosyalarını çalıştırmaya yönlendiriyor ve ciddi güvenlik ihlallerine yol açıyor.

Bu makalede ClickFix yönteminin incelikleri, etkileri ve kullanıcıların kendilerini korumak için atabilecekleri adımlar ele alınmaktadır.

Son üç ayın yaygınlığı

ClickFix Enfeksiyon Zinciri

ClickFix enfeksiyon zinciri, kullanıcıların görünüşte meşru ama güvenliği ihlal edilmiş web sitelerini ziyaret etmeye ikna edilmesiyle başlar.

Bu web siteleri, gerçek görünmek için titizlikle hazırlanmıştır ve kullanıcı uyumunun olasılığını önemli ölçüde artırır. Bu siteleri ziyaret eden kurbanlar, sahte açılır pencereler barındıran etki alanlarına yönlendirilir.

Bu açılır pencereler, kullanıcılara bir komut dosyasını PowerShell terminaline (görev otomasyonu ve yapılandırma yönetimi için kullanılan bir komut satırı kabuğu) yapıştırmaları talimatını verir.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files

Komut dosyası yapıştırılıp PowerShell terminalinde yürütüldüğünde, kötü amaçlı yazılım kurbanın sistemine sızabilir. Bu, veri hırsızlığına, sistem ihlaline veya kötü amaçlı yazılımın daha fazla yayılmasına yol açabilir.

Bu yöntemin karmaşıklığı, kullanıcıların görünüşte gerçek web sitelerine ve istemlere duyduğu güveni istismar edebilme yeteneğinde yatmaktadır.

ClickFix’i Kullanan Kötü Amaçlı Yazılım Aileleri

Lumma Stealer ve DarkGate adlı iki önemli kötü amaçlı yazılım ailesinin ClickFix tekniğini kullandığı gözlemlendi.

Lumma Stealer, bulaştığı sistemlerden şifreler, kredi kartı bilgileri ve diğer kişisel veriler gibi hassas bilgileri çıkarabilme yeteneğiyle biliniyor.

DarkGate ise hassas bilgileri çalan, uzaktan erişim sağlayan ve ele geçirilmiş sistemlerde kalıcı arka kapılar oluşturan daha gelişmiş bir tehdittir.

DarkGate gelişmiş kaçınma taktikleri kullanır ve bu da tespit edilmesini ve kaldırılmasını zorlaştırır. Ağlar içinde yayılabilir ve önemli bir siber güvenlik tehdidi oluşturabilir.

Bu kötü amaçlı yazılım ailelerinin ClickFix tekniğiyle birleştirilmesi, siber güvenlik uzmanları için zorlu bir meydan okumayı temsil ediyor.

Kimlik Avı E-postalarının Rolü

McAfee Labs, spamtrap’lerinden Word belgesi gibi görünen bir HTML eki içeren bir kimlik avı e-postası aldı. Kimlik avı e-postaları ClickFix enfeksiyon zincirinde önemli bir rol oynar.

HTML dosyası, kullanıcıları kötü amaçlı yazılımların indirilmesine ve çalıştırılmasına yol açabilecek eylemlerde bulunmaya yönlendirmek için tasarlanmış bir hata istemi görüntüledi.

Ekli E-posta

Kimlik avı e-posta taktiği, kullanıcıların yaygın dosya türleri ve hata mesajlarına ilişkin bilgisini istismar ettiği için özellikle etkilidir.

Görünüşte meşru bir sorun sunarak ve bir çözüm önererek saldırganlar, kullanıcıların talimatları izlemesi ve istemeden kötü amaçlı betiği çalıştırması olasılığını artırır.

Teknik Analiz

HTML ekindeki kodu inceleyen araştırmacılar, base64 kodlu birkaç içerik bloğu keşfettiler. Bu bloklar, kullanıcıların PowerShell terminallerine yapıştırmaları talimatı verilen kötü amaçlı betiği içeriyordu.

Komut dosyası çalıştırıldığında kötü amaçlı yazılımın indirilmesi ve kurulması süreci başlar.

Uzantı sorunu sorununu görüntüler
Uzantı sorunu sorununu görüntüler

Kötü amaçlı betiği kodlama ve gizleme yöntemi, saldırganların karmaşıklığının bir kanıtıdır. Betiğin gerçek doğasını kodlanmış bloklar içinde gizleyerek, otomatik güvenlik sistemlerinin tehdidi algılamasını ve engellemesini daha da zorlaştırırlar.

HTML, başlık etiketinde Base64 kodlu içerik içerir
Kodu çözdükten sonra
Kodu çözdükten sonra

ClickFix’e Karşı Koruma

ClickFix enfeksiyon zincirine ve benzeri tehditlere karşı korunmak için kullanıcılar şu en iyi uygulamaları izlemelidir:

  1. E-postalar ve Ekler Konusunda Dikkatli Olun:Herhangi bir e-posta ekini açmadan önce, özellikle beklenmedik veya bilinmeyen kaynaklardan geliyorsa, mutlaka gönderenin kimliğini doğrulayın.
  2. Komut Dosyalarını Yapıştırmaktan Kaçının: Güvenilir olmayan kaynaklardan gelen komutları veya betikleri asla terminalinize veya komut isteminize yapıştırmayın.
  3. Güvenlik Yazılımı Kullanın: Güvenlik yazılımınızın güncel olduğundan ve gelişmiş tehditleri algılayıp engelleyebildiğinden emin olun.
  4. Kendinizi ve Başkalarını Eğitin: En son siber güvenlik tehditleri hakkında bilgi sahibi olun ve başkalarını çevrimiçi ortamda güvende kalmak için riskler ve en iyi uygulamalar hakkında eğitin.

ClickFix enfeksiyon zincirinin keşfi, siber tehditlerin sürekli gelişen doğasını ve dijital çağda dikkatli olmanın önemini vurguluyor.

Saldırganların kullandığı taktikleri anlayarak ve kendilerini korumak için proaktif önlemler alarak kullanıcılar, bu karmaşık sosyal mühendislik planlarının kurbanı olma riskini azaltabilirler.

Siber güvenlik tehditleri giderek daha karmaşık hale geldikçe, bilgili ve dikkatli olmak her zamankinden daha kritik hale geliyor.

Tehlike Göstergeleri (IoC’ler)

Dosya SHA256
Karanlık Kapı
E-posta c5545d28faee14ed94d650bda28124743e2d7dacdefc8bf4ec5fc76f61756df3
HTML 0db16db812cb9a43d5946911501ee8c0f1e3249fb6a5e45ae11cef0dddbe4889
HTA 5c204217d48f2565990dfdf2269c26113bd14c204484d8f466fb873312da80cf
Not: e9ad648589aa3e15ce61c6a3be4fc98429581be738792ed17a713b4980c9a4a2
Posta kodu 8c382d51459b91b7f74b23fbad7dd2e8c818961561603c8f6614edc9bb1637d1
AutoIT betiği 7d8a4aa184eb350f4be8706afb0d7527fca40c4667ab0491217b9e1e9d0f9c81
Lumma Hırsızı
URL Tuchinehd[.]com
Not: 07594ba29d456e140a171cba12d8d9a2db8405755b81da063a425b1a8b50d073
Posta kodu 6608aeae3695b739311a47c63358d0f9dbe5710bd0073042629f8d9c1df905a8
EXE e60d911f2ef120ed782449f1136c23ddf0c1c81f7479c5ce31ed6dcea6f6adf9

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo



Source link