Siber güvenlik araştırmacıları, 2024’ün başından beri tehdit aktörleri arasında hızla çekiş kazanan ClickFix adlı sofistike bir sosyal mühendislik tekniği belirlediler.
Bu aldatıcı saldırı yöntemi, hem Windows hem de MacOS cihazlarını hedefler ve kullanıcıları meşru teknik sorun giderme prosedürleri aracılığıyla kötü amaçlı komutlar yürütmeye kandırır.
Teknik, küresel olarak günlük olarak binlerce işletme ve tüketici cihazını etkileyen kampanyalarda, sosyal mühendislik taktiklerinde önemli bir evrimi temsil etmektedir.
ClickFix tekniği, kullanıcılara küçük teknik sorunları çözmek için anında işlem gerektiren görünen sahte hata mesajları, captcha doğrulamaları veya insan doğrulama istemleri sunarak çalışır.
.webp)
Bu yemler genellikle kimlik avı e -postaları, kötü niyetli reklamlar veya kurbanları özel olarak hazırlanmış açılış sayfalarına yönlendiren tehlikeye atılmış web siteleri aracılığıyla teslim edilir.
Saldırının etkinliği, kullanıcıların görünür teknik sorunları çözme doğal eğiliminden yararlanmasıyla ilgilidir, bu da insan etkileşimi yoluyla geleneksel otomatik güvenlik çözümlerini atladığı için özellikle tehlikeli hale getirir.
Microsoft analistleri, üretken Lumma Stealer Infostealer, Xworm ve Asyncrat gibi uzaktan erişim araçları, latrodectus ve nane yükleyicisi gibi uzaktan erişim araçları ve açık source R77 gibi yükleyiciler de dahil olmak üzere çok çeşitli kötü amaçlı yükler sunmak için ClickFix saldırılarından yararlanan birden fazla tehdit aktörünü belirledi.
Bu yükler genellikle geleneksel yürütülebilir dosyalar olarak diske yazılmak yerine, arazi ikili dosyaları tarafından doğrudan belleğe yüklenen “Filless” kötü amaçlı yazılım olarak çalışır.
Saldırı zinciri, kurbanlar Cloudflare Turnstile Doğrulama, Google Recaptcha ve hatta Discord gibi sosyal medya platformları gibi meşru hizmetleri taklit eden görsel yemlerle karşılaştığında başlar.
Kullanıcılar bu sahte doğrulama sistemleriyle etkileşime girdiğinde, kötü amaçlı JavaScript kodu arka planda yürütülür ve gizlenmiş komutları kullanıcının panosuna kopyalar. navigator.clipboard.writeText() işlev.
Teknik uygulama ve komut yürütme
ClickFix tekniğinin çekirdeği, Windows tuşundan + R kısayolundan erişilen Windows Run iletişim kutusunun manipüle edilmesi etrafında döner.
Tehdit aktörleri stratejik olarak bu yaklaşımı seçmişlerdir, çünkü çoğu kullanıcı bu Windows bileşenine ve potansiyel güvenlik sonuçlarına aşina değildir.
Kötü niyetli komutlar tipik olarak PowerShell cmdlet’leri içerir iwr (Webrequest’i çağır), irm (RestMethod’u Invokee) ve iex Uzak sunuculardan yükleri indirmek ve yürütmek için (çağırma ekspresyonu).
.webp)
Dikkate değer bir vaka çalışması, ilk olarak Mayıs 2025’te Portekiz örgütlerini hükümet, finans ve ulaşım sektörlerinde hedefleyen Lampion kötü amaçlı yazılım kampanyasını içermektedir.
Kampanya, zip dosyaları içeren kimlik avı e-postalarıyla başlayan sofistike çok aşamalı bir enfeksiyon süreci kullanıldı. Açıldıktan sonra, bu arşivler, kullanıcıları ClickFix cazibesini barındıran sahte bir Portekiz Vergi Otoritesi web sitesine yönlendiren HTML dosyaları içeriyordu.
Sonraki PowerShell komutu, Windows % Temp % dizininde ek komut dosyaları oluşturan ve planlanan görevler yoluyla kalıcılık oluşturan şaşkın bir VBScript indirdi.
Tekniğin uyarlanabilirliği, Windows ortamlarının ötesine uzanıyor ve son kampanyalar MacOS kullanıcılarını Atomik MacOS Stealer (AMOS) sunmaları için hedefliyor.
Bu saldırılar, MacOS terminal yürütülmesi için temel komutları uyarlarken benzer sosyal mühendislik taktiklerini kullanarak tekniğin platformlar arası yeteneklerini gösterir.
MacOS varyantı, kullanıcıları sürekli olarak sistem şifreleri için isteyen ve MacOS güvenlik özelliklerini atlamak için çalınan kimlik bilgilerini kullanan sofistike şifre hırsızlığı mekanizmaları kullandı. xattr -c komutlar.
ClickFix saldırılarının algılanması, Run iletişim kutusu yürütme geçmişini koruyan RunmRU kayıt defteri anahtarının izlenmesine dayanır.
Güvenlik ekipleri, yer alan ikili dosyaları, doğrudan IP adreslerini, içerik dağıtım ağı alanlarını veya şüpheli uzantıları olan dosyaları içeren girişleri inceleyerek şüpheli etkinlikleri belirleyebilir.
Microsoft’un araştırması, tehdit aktörlerinin sıklıkla Base64 kodlaması, dize birleştirme ve kaçan karakterleri algılama sistemlerinden kaçmak için sık sık gizleme teknikleri kullandığını ortaya koyuyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.