Eylül 2024’te kırmızı takım simülasyon aracı olarak başlayan ClickFix, ClearFake Pony Browser güncelleme sahtekarlığı gibi seleflerini geride bırakan yaygın bir kötü amaçlı yazılım dağıtım sistemine dönüştü.
Başlangıçta güvenlik araştırmacısı John Hammond tarafından eğitim amaçlı gösterilen bu sahte captcha tekniği, kullanıcıları geleneksel dosya indirmelerini atlayarak pano manipülasyonu yoluyla kötü niyetli PowerShell komutlarını yürütmeye kandırıyor.
2024’ün sonlarına doğru, Proofpoint BT ClickFix olarak adlandırdı ve Ethereum akıllı sözleşmelerindeki kodları gizleme taktiklerinden daha sinsi sosyal mühendisliğe geçişini vurguladı.
Bu “captchageddon” varyant, güvenilir altyapıdan yararlanır, sürüş enfeksiyonlarını ve mızrak akışını sağlar, bu da lumma gibi infostealers’ın kimlik bilgilerini ve verileri sorunsuz bir şekilde spiltrat ederek yaygın olarak konuşlandırmasına neden olur.
Enfeksiyonları süren kaçış taktikleri
ClickFix’in yayılması, akış ve yazılım sitelerini hedefleyen gölgeli ağlardaki kötü niyetli olmaktan, doğal entegrasyon için kullanıcı etkileşimleri tarafından tetiklenen sahte Captchas meşru içeriğinin yüksek SEO sıralamasına sahip tehlikeye atılmış WordPress platformlarına sızmaya çeşitlenmiştir.
Rapora göre, saldırganlar sosyal medyayı, Github depolarını aldatıcı okuma ile daha da kullanıyor ve bulanık kazınmış makaleler içeren SEO-optimize edilmiş yem siteleri, kullanıcıları erişim için “doğrulamaya” zorluyor.
Anlatıcı olarak, bu saldırılar adzone kimlikleri aracılığıyla dinamik markalaşma site logoları ve “Şüpheli IP algılanan” gibi acil istemler ile dinamik markalaşma site logolarını taklit eden sofistike sosyal mühendislik kullanıyor.
Booking.com takviyeleri gibi hedeflenen kimlik avında, markalı sayfalardan temalı kapschas’a yönlendirirler, tek kimlik bilgileri yerine kapsamlı veri toplama için stealerlar yüklerler.
Teknik olarak, Kaçma, kasa mutasyonları (örn. PowerShell), ASCII hileleri ve saldırgan sunucularından dinamik komut dosyası yüklemesini kullanarak gizlenmiş PowerShell komutları etrafında döner.
Mimik CDN’lerde Socket.io.min.js gibi meşru görünümlü dosyalara yerleştirilmiş yükler veya güvenilir alan barındırma, şüpheyi azaltmak ve filtreleri atlamak için Google senaryolarını kötüye kullanır.
Platformlar arası uyarlamalar, BASH komut dosyaları aracılığıyla macOS ve Linux’a uzanır, kullanıcılara komutları terminallere yapıştırmalarını, teknik olmayan kullanıcıların tanıdıklarını kullanmasını söyler.
2025’in ortalarında, bu yöntemler saldırı yüzeyini genişletti, yoksul örnekler, uzak yükleri getiren basit kıvrılma çağrılarını ortaya çıkardı.
Kümeleme saldırgan ekosistemlerini ortaya çıkarır
Bu tehdit manzarasını incelemek için, Guardio’daki araştırmacılar binlerce pano yükü üzerine dbscan kümelenmesi uyguladılar, alan entropisi, gizleme desenleri ve komut yapıları gibi özellikleri çıkardılar.
Bu denetimsiz yaklaşım, Cluster 16’nın tekdüze, taklit edilmemiş PowerShell, .run/.press TLD’lerinden UUID yollarına sahip, paylaşılan araç setlerini gösteren farklı kümeleri tanımladı.
Diğer kümeler, proaktif engelleme için ağır gizleme veya platformlar arası melezler, saldırgan profillerini eşleme gösterir.
Bu evrim, siber tehditlerde viral bir mutasyonun altını çizerek eski suşları üstün bulaşıcılık yoluyla değiştirir. Dosya gibi araçlar daha ileri uyarlamalarda ipucu verdiğinden, savunucular imzalar üzerinde davranışsal analizlere öncelik vermelidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Örnekler |
|---|---|
| Sahte captcha siteleri | 866059[.]Eliteeyeview[.]Ne ve[.]kriptoarabmoon[.]com, atlatıyor[.]com, airscompany[.]com, aljawab24[.]com (kısmi liste; daha fazlası için tam olarak bakın) |
| Saldırgan Domains/IPS | 1[.]onurlu[.]Eğlence, 138[.]199[.]156[.]22, 147[.]45[.]45[.]177, 45[.]135[.]232[.]33, AIDETTECTOR[.]Araçlar, bitly[.]CX, Cubuj[.]Basın (kısmi liste; daha fazlası için tam olarak bakın) |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir