Geçen yıl hedeflenen saldırılarda ilk kez tespit edilen akıllı bir kötü amaçlı yazılım dağıtım şeması şimdi ana akım haline geldi. Bu aldatmaca, “ClickFix”Hacklenmiş veya kötü niyetli bir web sitesinin ziyaretçisinden, neden olan klavye tuşlarının bir kombinasyonuna basarak kendilerini botlardan ayırt etmeleri istenir. Microsoft Windows Parola çalma kötü amaçlı yazılımları indirmek için.
ClickFix saldırıları, birçok web sitesinin gerçek ziyaretçileri içerik çizik botlarından ayırmak için kullandığı “İnsan olduğunuzu doğrulayın” testlerini taklit eder. Bu özel aldatmaca genellikle böyle bir şey görünen bir web sitesi açılır penceresi ile başlar:
Bu kötü amaçlı yazılım saldırısı, insanları botlardan ayırmayı amaçlayan bir captcha gibi davranıyor.
“Ben bir robot değilim” düğmesini tıklamak, kullanıcıdan insanlıklarını kanıtlamak için üç sıralı adım atmasını isteyen bir açılır mesaj oluşturur.
Bu tuşlar serisinin yürütülmesi, Windows’u şifre çalan kötü amaçlı yazılımları indirmeye yönlendirir.
Adım 1, klavye tuşuna aynı anda Windows simgesiyle ve sistemde zaten yüklü olan herhangi bir programı yürütecek bir Windows “Run” istemini açan “R” harfi ile aynı anda içerir.
Adım 2 kullanıcıdan, sitenin sanal panosundan kötü niyetli kodları yapıştıran “CTRL” tuşuna ve aynı anda “V” harfine basmasını ister.
Adım 3 – “Enter” tuşuna basmak – Windows’un kötü amaçlı kodları indirmesine ve başlatmasına neden olur ”mshta.exe”Microsoft HTML uygulama dosyalarını çalıştırmak için tasarlanmış bir Windows programı.
“Bu kampanya, Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot ve Netsupport Rat dahil olmak üzere birden fazla emtia kötü amaçlı yazılım ailesi sunuyor.” Microsoft Perşembe günü bir blog yazısında yazdı. “Belirli yüke bağlı olarak, mShta.exe aracılığıyla başlatılan belirli kod değişir. Bazı örnekler PowerShell, JavaScript ve Taşınabilir Yürütülebilir (PE) içeriğini indirmiştir. ”
Microsoft’a göre, misafirperverlik çalışanları, taklit eden siber suçlular tarafından kimlik bilgisi çalma kötü amaçlı yazılımları indirmek için kandırılıyor Booking.com. Şirket, saldırganların, genellikle olumsuz konuk incelemelerine, potansiyel konuklardan gelen taleplere veya çevrimiçi promosyon fırsatlarına atıfta bulunarak, insanları bu tıklama saldırılarından birine adım atmaya ikna etmek amacıyla, genellikle olumsuz konuk incelemelerine, potansiyel konuklardan gelen taleplere atıfta bulunarak kötü niyetli e -postalar gönderdiğini söyledi.
Kasım 2024’te Krebsonsecurity, Booking.com’u kullanan yüzlerce otelin hedefli kimlik avı saldırılarına maruz kaldığını bildirdi. Bu yemlerin bazıları işe yaradı ve hırsızların Booking.com hesapları üzerinde kontrol sahibi olmalarına izin verdi. Oradan, şirketin uygulaması aracılığıyla seyahat rezervasyonu yapan kişilerden finansal bilgi isteyen kimlik avı mesajları gönderdiler.
Bu ayın başlarında güvenlik firması Arktik Kurt Sağlık sektöründe çalışan kişileri hedefleyen ClickFix saldırıları konusunda uyarıldı. Şirket, bu saldırıların, ziyaretçileri bir ClickFix istemine yönlendiren yaygın olarak kullanılan fizik tedavi video sitesi Hep2GO’ya dikilmiş kötü niyetli koddan yararlandığını söyledi.
Ekim 2024’te bir uyarı (PDF) ABD Sağlık ve İnsan Hizmetleri Bakanlığı ClickFix saldırısının sahte de dahil olmak üzere birçok şekil alabileceği konusunda uyardı Google Chrome Arpsül eden hata sayfaları ve açılır pencereler Facebook.
Google Chrome, Facebook, PDFSimpli ve Recaptcha’yı taklit eden kötü amaçlı web siteleri tarafından kullanılan ClickFix taktiği. Kaynak: Sekoia.
ClickFix saldırısı – ve mShta.exe’ye olan güveni – yıllarca kullanılan kimlik avı tekniklerini anımsatıyor. Microsoft Office makrolar. Kötü niyetli makrolar o kadar yaygın bir kötü amaçlı yazılım tehdidi haline geldi ki Microsoft, Web’den içerik indirmeye çalışan ofis belgelerinde varsayılan olarak makroları engellemeye zorlandı.
Ne yazık ki, e -posta güvenlik satıcısı Kanıt noktası Microsoft Office dosyalarını taklit eden HTML ekleri içeren kimlik avı e -postaları aracılığıyla çok sayıda ClickFix saldırısı belgeledi. Açıldığında, ek, kullanıcıları “çözüm” veya “nasıl düzeltilir” düğmesini tıklamaya yönlendiren bir açılır hata mesajı ile Microsoft Word belgesi görüntüsünü görüntüler.
ClickFix talimatları içeren HTML dosyaları. “Report_” (solda) ve “scan_doc_” (sağda) adlı eklere örnekler. Resim: Proofpoint.
Bunu yapmak isteyen kuruluşlar, kullanıcılar Windows tuşuna ve “R” tuşuna aynı anda vurduğunda Windows’un “Run” komutunu yürütmesini önlemek için Microsoft Group ilke kısıtlamalarından yararlanabilir.