Google Meet görüntülü iletişim hizmetinin kullanıcıları, bilgi çalan kötü amaçlı yazılımları bulaştırmak için ClickFix taktiğini kullanan siber dolandırıcılar tarafından hedef alındı.
Kötü amaçlı ClickFix açılır penceresini içeren sahte Google Meet video konferans sayfası (Kaynak: Sekoia)
Sekoia araştırmacıları, “ClickFix taktiği, indirme için bir web tarayıcısı gerektirmeden veya manuel dosya yürütme gerektirmeden, kullanıcıları makinelerine kötü amaçlı yazılım indirmeye ve çalıştırmaya yönlendiriyor” dedi.
“Google Güvenli Tarama gibi web tarayıcısının güvenlik özelliklerini atlamanıza ve şüphelenmeyen kurumsal ve bireysel kullanıcılara daha az şüpheli görünmenize olanak tanıyor.”
ClickFix taktiği
ClickFix taktiği diğer birçok tehdit aktörü arasında da popüler hale geliyor ve hem tüketiciler hem de işletmeler için büyük bir tehlike oluşturuyor. Kullanıcılar genellikle kimlik avı e-postalarından veya arama motorlarından gelen bağlantıları takip ederek ele geçirilen web sitelerine ulaşırlar ve eğer bu özel hileye aşina değillerse, virüse yakalanma olasılıkları yüksektir.
Bu sosyal mühendislik taktiğine, sahte tarayıcı uyarıları gösteren, güvenliği ihlal edilmiş web siteleri aracılığıyla kullanıldığını işaretleyen Proofpoint araştırmacıları tarafından isim verildi.
Uyarılar genellikle kullanıcıları, “Düzelt” düğmesini tıklayıp belirtilen adımları takip edene kadar web sayfasının veya belgenin tarayıcı tarafından doğru şekilde görüntülenemeyeceği konusunda uyarır; bu, kullanıcının farkında olmadan kötü amaçlı yazılım yükleyen kötü amaçlı kodu kopyalayıp çalıştırmasıyla sonuçlanır.
Şubat 2024’ten bu yana Sekoia ve diğer siber güvenlik şirketleri, aynı sosyal mühendislik taktiğini kullanan bir dizi kötü amaçlı yazılım dağıtım kampanyasını işaretledi. Bazen eylem çağrısı “Sorunu düzeltin”, bazen de “İnsan olduğunuzu kanıtlayın” (sahte CAPTCHA sayfalarında).
Sahte uyarılar ve doğrulama talepleri, ele geçirilen sitelere ve Facebook sayfalarına “park edildi”; Google Meet kullanıcılarını, GitHub kullanıcılarını, ulaşım ve lojistik sektöründeki şirketleri, Google üzerinden video akışı hizmetleri arayan kullanıcıları ve diğerlerini hedef alacak şekilde özelleştirilmişti.
Yemler farklı olabilir
Sekoia analistleri, Google Meet’i taklit eden ClickFix kümesini, Rusça konuşulan siber suç ekosisteminin bir parçası olan “Marko Polo” ve “CryptoLove” kripto para dolandırıcılığı ekiplerinin alt ekipleri olan iki siber suç grubuyla ilişkilendirmeyi başardı.
Kullanıcıların bilmeden çalıştırdığı komut dosyası, StealC ve Rhadamanthys kötü amaçlı yazılımını Windows kullanıcılarına, AMOS hırsızını ise macOS kullananlara dağıtıyor. Kullanıcılar kötü amaçlı yazılıma bulaştığında, dolandırıcıların güvenlik ihlallerini takip edebilmesi için Telegram botlarına bir mesaj gönderilir.
Sekoia araştırmacıları, her iki grubun da Google Meet’i taklit eden aynı ClickFix şablonunu kullandığını, bunun da onların materyalleri ve altyapıyı paylaştıklarını (muhtemelen üçüncü bir taraf tarafından yönetildiğini) gösterdiğini söylüyor.
Kötü amaçlı yazılım dağıtım altyapısının analizi, saldırganların aynı zamanda oyun, PDF okuyucu, Web3 web tarayıcısı ve mesajlaşma uygulaması arayan kullanıcıların yanı sıra Zoom video konferans uygulaması kullanıcılarını da hedef alabileceğini gösteriyor.