Siber suçlular, çok aşamalı siber saldırıları başlatmak, uzaktan erişim truva atları (sıçanlar) ve alarm verimliliğe sahip veri çalma kötü amaçlı yazılımları sunmak için ClickFix olarak bilinen aldatıcı bir sosyal mühendislik tekniğini giderek daha fazla kullanıyor.
İlk olarak Mart 2024’te tanımlanan ClickFix, kullanıcıları Captcha doğrulamaları veya tarayıcı güncellemeleri gibi rutin istemler olarak gizleyerek kötü niyetli PowerShell komutlarını yürütmeye yönlendirir.
Saldırganlar, insan psikolojisini ve “doğrulama yorgunluğunu” kullanarak kullanıcıları geleneksel güvenlik önlemlerini atlayarak bu komutları sistemlerinin çalışma iletişim kutusuna kopyalamaya ve yapıştırmaya yönlendiriyor.
.png
)
Giriş noktası olarak sosyal mühendislik
Elastik Güvenlik Laboratuarları, 2024 ve 2025 yılı boyunca ClickFix kampanyalarında önemli bir artış olduğunu bildirmektedir ve Lumma, Arechclient2 (Sectoprat olarak da bilinir) ve GhostPulse Loader gibi kötü amaçlı yazılımlarla çok çeşitli kurbanları hedef alan etkinlikte önemli bir artışla.
Elastik güvenlik laboratuvarları tarafından analiz edilen yakın tarihli bir ClickFix kampanyası, titizlikle hazırlanmış bir enfeksiyon sürecini ortaya koymaktadır.
Saldırı, istemciler gibi tehlikeye atılan altyapı üzerinde barındırılan bir Cloudflare anti-ddos captcha doğrulamasını taklit eden bir kimlik avı sayfasıyla başlar.[.]com ve müşteriler.contology[.]com, her ikisi de IP 50.57.243’e karar veriyor[.]90.
Kullanıcı etkileşimi üzerine, gizlenmiş JavaScript, bir base64 kodlu PowerShell komutunu panoya kopyalar, bu da yürütüldüğünde, GhostPulse yükleyicisinin bileşenlerini içeren bir zip dosyasını indirir.
2023’ten beri aktif olan ve kaçırma teknikleri ile sürekli güncellenen bu yükleyici, meşru bir yürütülebilir uygulanabilir yolla kötü amaçlı kod yürütmek için DLL kenar yükünü kullanır ve sonunda bir ara .NET yükleyici dağıtır.
Gelişmiş çok aşamalı saldırı zinciri
Nihai yük olan ARECHClient2, yansıtıcı bir şekilde belleğe yüklenir ve kapsamlı veri hırsızlığı ve uzaktan kumanda özellikleri sağlar.
ARECHClient2, 144.172.97 gibi komut ve kontrol (C2) sunucularına bağlanırken kripto para cüzdanlarını, tarayıcı kimlik bilgilerini ve sistem bilgilerini hedefler.[.]2 ve 143.110.230[.]167 Daha fazla talimat için.
Bu çok katmanlı saldırı zinciri, rakiplerin etkiyi en üst düzeye çıkarmak için sosyal mühendisliği nasıl gelişmiş yükleyici mekanizmalarıyla birleştirdiğini, hassas finansal ve kişisel verileri çalırken, şifreli yükler ve süreç algılama gecikmeleri yoluyla tehlikeye atılan sistemlerde kalıcılığı korur.
Altyapı analizi, saldırganların, kötü niyetli içeriğe ev sahipliği yapmak için bir dijital reklam ajansının sunucusunu tehlikeye attığını ve yaygın dağıtım için erişimini kullandığını gösteriyor.
Çeşitli otonom sistemlerde barındırılan C2 sunucuları, son yedi ay içinde tespit edilen ve hızla gelişen bir operasyon gösteren 120’den fazla benzersiz sunucu ile yüksek bir ciro oranı sergiliyor.
Tespit zorlayıcı kalır, ancak Elastik Defend’in davranış koruma kuralları ve Windows_trojan_ghostpulse ve Windows_trojan_arechclient2 gibi Yara imzaları bu tehdide karşı kritik savunmalar sunar.
ClickFix tehdit aktörleri arasında çekişe devam ettikçe, kuruluşlar bu sinsi saldırıları azaltmak için kullanıcı farkındalığını ve sağlam uç nokta güvenliğini önceliklendirmelidir.
Uzlaşma Göstergeleri (IOC)
| Gözlemlenebilir | Tip | İsim/referans | Detaylar |
|---|---|---|---|
| istemciler.DealeronLineMarketing[.]com | İhtisas | Captcha alt alan | Kötü niyetli captcha sayfası barındırma |
| müşteriler.contology[.]com | İhtisas | Captcha alt alan | Kötü niyetli captcha sayfası barındırma |
| 50.57.243[.]90 | IPv4 | Hosting IP | Kötü amaçlı alanlara çözülür |
| 144.172.97[.]2 | IPv4 | ARECHClient2 C&C Sunucusu | Birincil C2 Sunucusu |
| 143.110.230[.]167 | IPv4 | ARECHClient2 C&C Sunucusu | İkincil C2 Sunucusu |
| pastebin[.]com/raw/wg8dhh2x | Url | C&C IP içerir | İkincil C2 IP için sabit kodlu bağlantı |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin