Yeni ve zeki bir ClickFix aldatmaca, Metastealer kötü amaçlı yazılımları yükleyerek güvenliği atlamak için sahte bir AnyDesk yükleyici ve Windows araması kullanıyor. Kendinizi bu büyüyen ClickFix tehdidinden nasıl koruyacağınızı öğrenin.
Huntress’teki siber güvenlik araştırmacıları, kötü amaçlı yazılımları yaymak için ClickFix tekniğini kullanarak yeni bir kötü amaçlı yazılım kampanyası keşfettiler. Bu kampanyada, bilgisayar korsanları, Meşru Uzaktan Erişim Aracı Anydesk için Metastealer adlı kötü amaçlı yazılım yüklemek için kurbanları sahte bir yükleyiciyle çekiyor.
Bilgileriniz için, klasik ClickFix tekniği kullanıcıları düzeltmek Bilgisayarlarının Windows Run Diyalog Kutusuna kötü amaçlı bir komut kopyalayıp yapıştırarak bir web sitesinde sahte bir sorun.
ClickFix Saldırısı, var olmayan bir sorunu çözüyormuş gibi yapıyor!
Bu kampanyada, araştırmacılar bunun yerine Windows Dosyası Gezgini’ni kullanan “FileFix” olarak adlandırılan başka bir tekniğin kullanılmasını not ettiler. Bu yeni kampanya aynı zamanda bu dolandırıcılıklarda bir bükülme.
Saldırı, gerçek Anydesk aracını çevrimiçi arama yapan bir kişi sahte bir web sitesine indiğinde başlar. Sayfa, Cloudflare’nin Captcha doğrulama aracı gibi görünen sahte bir insan doğrulama istemine sahiptir. Buradaki temel fark, kurbandan bir komutu bilgisayarlarına kopyalayıp yapıştırmasını istemek yerine, bir ClickFix aldatmaca için standart yöntem, bilgisayar korsanlarının yeni bir teknik kullanmasıdır.
Mağdur “Doğrulama” düğmesini tıkladığında, Web sitesi Windows’ta Windows Dosya Gezgini’ni özel bir arama sorgusuyla başlatan gizli bir özelliği etkinleştirir. Bu eylem, kurbanın bilgisayarını bilgisayar korsanları tarafından kontrol edilen uzak bir sunucuya bağlar ve ekranlarına tehlikeli bir dosya sunar. Küçük ama önemli bir ayrıntı, bilgisayar korsanlarının, hedeflerini takip etmelerine yardımcı olan indirme bağlantısının bir parçası olarak kurbanın bilgisayar adını almaları gerektiğidir.
İndirilen dosya, ReadMe başlıklı bir PDF belgesi olarak gizlenmiştir Anydesk.pdf. Gerçekte, kötü niyetli bir yükleyici paketidir. Açıldığında, aynı anda iki eylem gerçekleştirir: Şüphe önlemek için arka planda meşru Anydesk uygulamasını indirmeye başlar ve sessizce Metastealer’ı yükler.
Bilgileriniz için Metastealer kötü amaçlı yazılım hassas bilgileri çalmak için tasarlanmıştır. Hedeflenen bir cihazın başarılı bir şekilde sızmasından sonra, giriş bilgilerini toplayabilir, dosyaları çalabilir ve hatta kripto cüzdanlarından bilgi alabilir.
Kampanya, geleneksel savunmalardan kaçınmak için meşru yazılım özelliklerini sosyal mühendislik ile harmanlayan daha geniş bir “düzeltme” dolandırıcılığının bir parçası gibi görünüyor. Bu, kullanıcıların bu son derece aldatıcı dolandırıcıları tespit etmesine yardımcı olmak için kullanıcı eğitiminin önemini vurgulamaktadır.