Microsoft, Windows ve MacOS’u hedefleyen platformlar arası saldırıları bayraklar

Microsoft Tehdit İstihbaratı, kullanıcıları geleneksel otomatik güvenlik savunmalarını atlayarak kullanıcıları cihazlarında kötü amaçlı komutlar yürütmeye yönlendiren sofistike bir yöntem olan ClickFix Sosyal Mühendislik Tekniğinin artan benimsenmesini vurguladı.

2024’ün başlarından beri gözlemlenen bu taktik, günlük binlerce işletme ve son kullanıcı sistemini hedefledi ve Lumma Stealer Infostealers, Xworm ve Asyncrat gibi uzaktan erişim truva atları (sıçanlar), Latrodectus dahil yükleyiciler ve değiştirilmiş R77 açık source koduna dayanan rootkits gibi yükler sundu.

Sosyal mühendisliğin artan tehdidi

Sahte captcha doğrulamaları veya hata istemleri gibi küçük teknik aksaklıkları çözmek için kullanıcıların eğilimlerinden yararlanarak, plighFix kimlik avı, kötü niyetli ve sürüşle uzlaşmalarla entegre olur, genellikle güvenilir markaları şüpheyi aşındırmak için taklit eder.

Saldırı zinciri tipik olarak kurbanlara Windows Run iletişim kutusuna (Win + R), Windows terminaline veya PowerShell’e kopyalayıp yapıştırmalarını söyleyen aldatıcı açılış sayfaları aracılığıyla başlar ve msbuild.exe veya regasm.exe gibi arazi ikili ikili dosyalarına (lolbins) enjeksiyona yol açar.

Microsoft, bu yüklerin sık sık bellekte .NET düzenekleri veya ortak dil çalışma zamanı (CLR) modülleri olarak çalıştığını ve gizli kalıcılığı, veri açığa çıkmasını ve yanal hareketi sağladığını belirtiyor.

Dikkate değer bir vaka çalışması, Mayıs 2025’ten bu yana aktif olan Lampion kötü amaçlı yazılım kampanyasını, ZIP arşivlenmiş HTML’yi içeren kimlik avı e-postaları aracılığıyla birden fazla ülkede hükümet ve finans gibi sektörleri hedef alan Lampion kötü amaçlı yazılım kampanyasını içermektedir.

Bu çok aşamalı enfeksiyon, VBScripts’i gizler, keşif ve antivirüs kaçakçılığı için görevleri planlar ve bankacılık kimlik hırsızlığı ile sonuçlanır, ancak bazı örnekler yorumlanan kodu nedeniyle nihai yükü teslim edemedi.

Platformlar arası evrim

Tekniğin uyarlanabilirliği, Windows’un ötesine uzanıyor ve Mayıs 2025’ten bu yana kampanyalar, MacOS kullanıcılarını tarayıcı çerezlerini, şifreleri ve kripto para cüzdanlarını hasat eden Atomic MacOS Stealer’ı (AMOS) dağıtmayı hedefliyor.

Bu senaryolarda, Spectrum gibi taklit hizmetleri çekerek, kullanıcıları DSCL kimlik doğrulaması yoluyla sistem şifrelerini yakalayan ve MacOS karantinasını XATTR komutlarıyla atlayan bash komut dosyalarını çalıştırmalarını ister.

Tehdit aktörleri, JavaScript Obfusation, farklı sunuculardan uzaktan kod yüklemesi ve Base64 kodlama, dize birleştirme, kaçan karakterler ve iç içe lolbin uygulamaları (örn.

Varış vektörleri, Prometheus gibi trafik yön sistemleri (TDS) yoluyla yönlendirilen HTML ekleri veya URL’leri, HTA komut dosyalarını medya uzantılarına (.mp3, .mp4) yeniden adlandıran korsan akış sitelerinde kötü niyetli olarak kimlik avı içerir.

Microsoft, Fırtına Serisi aktörleri (örn. Storm-1607, Storm-0426) kilit failler olarak tanımlar ve ABD Sosyal Güvenlik İdaresi gibi kuruluşları, uzaktan kumanda için screenconnect gibi araçlar yüklemek için taklit eder.

Yeraltı pazarları, özelleştirilebilir yemler, VM algılama bypass ve UAC Korunma içeren aylık 200-1,500 $ karşılığında ClickFix kitleri sunar.

Buna karşı koymak için Microsoft, Sosyal Mühendislik konusunda kullanıcı eğitimini önererek PowerShell ve HTA komut dosyaları için AMSI taraması, C2 alanlarını bloke etmek için ağ koruması ve gizli komut dosyası yürütülmesini kısıtlamak için saldırı yüzey azaltma kurallarını mümkün kılar.

Tespitler Microsoft Defender Antivirus (örneğin, davranış: Win32/ClickFix) ve şüpheli RunmRU kayıt defteri girişleri için uç nokta uyarılarını kapsar.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!