Sahte bir Google Meet açılış sayfası aracılığıyla uzaktaki çalışanları ve kuruluşları hedef alan yeni, son derece karmaşık bir kötü amaçlı yazılım kampanyası tespit edildi.
Aldatıcı alan adı gogl-meet’te barındırılıyor[.]com’a yapılan bu saldırı, geleneksel tarayıcı güvenlik kontrollerini atlamak ve bir Uzaktan Erişim Truva Atı’nı (RAT) doğrudan kurbanın sistemine göndermek için “ClickFix” sosyal mühendislik tekniğinden yararlanıyor.
Saldırı, bir kullanıcının yasal Google Meet arayüzünden görsel olarak ayırt edilemeyen sahte siteye gitmesiyle başlıyor. Kullanıcı, video akışı yerine, genellikle “Toplantıya katılamıyor” başlıklı bir kamera veya mikrofon sorunu olduğunu iddia eden bir açılır hata mesajıyla kesintiye uğrar.
Kimlik bilgileri isteyen standart kimlik avının aksine, bu sayfa fiziksel kullanıcı etkileşimi gerektiren teknik bir “düzeltme” sunar. İstem, kurbana belirli bir tuş vuruşu dizisini gerçekleştirmesi talimatını verir: Windows tuşu + R’ye, ardından CTRL + V’ye ve son olarak Enter’a basın.
Kullanıcının haberi olmadan sayfadaki “Şimdi katıl” veya “Düzelt” düğmesine tıklamak, kötü amaçlı bir PowerShell komut dosyasını panoya kopyalayan bir JavaScript işlevini tetikler.
Kullanıcı, manuel tuş vuruşu talimatlarını izleyerek farkında olmadan bu komut dosyasını Windows Çalıştır iletişim kutusu aracılığıyla yapıştırır ve çalıştırır; böylece Google Güvenli Tarama ve SmartScreen gibi tarayıcı tabanlı güvenlik filtrelerini etkili bir şekilde atlar.
Adli Analiz ve Göstergeler
Gogl-meet’i içeren son olay müdahale faaliyetleri[.]com bu zincirin RAT enfeksiyonuna yol açtığını doğruladı. Etkilenen sistemlerin adli analizi, Ana Dosya Tablosu (MFT) aracılığıyla enfeksiyonun temel nedenini belirledi.
Spesifik olarak, bırakılan veriye ilişkin MFT girişi, Alternatif Veri Akışında (ADS) kritik kaynak verilerini ortaya çıkardı ve hem ClickFix indirilen dosyayı hem de yönlendiren URL gogl-meet’i yakaladı.[.]com.
Bu adli yapı, RAT’ın yürütülmesini tipik bir arabadan indirme veya e-posta eki yerine kesin olarak tarayıcı tabanlı sosyal mühendislik olayına bağladığından, savunmacılar için çok önemlidir.
Bu dalganın belirgin bir özelliği, PowerShell yükünün kendisinde kullanılan gizlemedir. Tehdit aktörleri, kötü amaçlı komut dosyasını tekrarlanan yeşil onay işaretleri (✅) gibi güvenilir görsel semboller içeren kapsamlı yorumlarla doldurmaya başladı.
Bir kullanıcı içeriği küçük Windows Çalıştır kutusuna yapıştırdığında, bu semboller görünen tek metin olabilir ve mağdura görsel olarak komutun “doğrulandığı” veya güvenli olduğu konusunda güvence verir. [memory].
Bu taktik aynı zamanda teknik bir amaca da hizmet eder: gerçek kötü amaçlı kodu (genellikle bir IEX indirme yuvasını) iletişim kutusunun hemen görünür alanından dışarı iterek betiğin gerçek amacını maskeleyebilir.
ClickFix (ClearFake gibi kümelerle de ilişkilendirilir) 2024 boyunca önemli bir ilgi görürken, bu son yineleme hiper hedefli markalamaya doğru bir değişimi gösteriyor.
İlk kampanyalar genel tarayıcı güncellemelerini veya Word hatalarını taklit ediyordu. Yine de Google Meet simülasyonuna geçiş, video konferans aksaklıklarının yaygın ve güvenilir bir sürtüşme noktası olduğu kurumsal ortamları hedeflemeye doğru bir yönelim olduğunu gösteriyor.
Güvenlik ekiplerine, manuel yürütmenin habercisi olan olağandışı Unicode karakterler veya kapsamlı yorum blokları içeren Çalıştır iletişim kutusundan kaynaklanan PowerShell yürütme dizelerini işaretlemek için algılama kurallarını güncelleştirmeleri önerilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
