ClickFix saldırısı adı verilen oldukça yanıltıcı bir çevrimiçi tehdit, son raporların kullanımında %517’lik büyük bir artış olduğunu göstermesinin ardından siber güvenlik topluluğu içinde ciddi endişelere neden oluyor. İnsan riski şirketi Fable Security’de yapay zeka veri bilimcisi olan Kaushik Devireddy, tehdit hakkında özel bir keşif yaptı ve bunu Hackread.com ile paylaştı.
Devireddy’nin araştırmasına göre bilgisayar korsanları, insanları bilgisayarlarında şifre çalma yazılımı çalıştırmaya yönlendirmek için sahte ChatGPT Atlas yükleyicileri dağıtarak, genellikle basit bir kopyala-yapıştır hilesi olarak anlaşılan bu tekniği istismar ediyor.
ClickFix Tehdidinin Gelişimi
Bilginiz olsun, ClickFix saldırısı, basit bir e-posta dolandırıcılığı yerine, kullanıcıların meşru görünen klonlanmış web siteleri üzerinden kandırıldığı bir sosyal mühendislik biçimidir.
Hackread.com ısrarla bu tehdidin gelişimini ele aldı ve taktiğin Mayıs 2024’te ortaya çıktığını bildirdi ve Nisan 2025’e kadar İran (TA450), Kuzey Kore (TA427) ve Rusya (TA422) gibi ülkelerdeki hükümet destekli bilgisayar korsanlığı grupları tarafından casusluk kampanyalarında kullanılıyordu.
Bu yıl ClickFix saldırıları, iClicker gibi popüler öğrenci platformlarından AnyDesk gibi uzaktan erişim araçlarına, Google Meet ve şimdi de ChatGPT Atlas gibi yaygın konferans hizmetlerine kadar her şeyi hedef aldı.
Sahte Web Sitesi Tuzağı
En son ClickFix saldırısıyla ilgili olarak Devireddy, ChatGPT Atlas AI tarayıcısı için sahte bir kurulum sitesiyle bizzat karşılaştı. Taklit aynı düzen, tasarım ve metinle o kadar yakındı ki tek küçük ipucu alan adresiydi. Devireddy’nin belirttiği gibi, “Etrafta göze çarpmayan tek şey alan adıydı: Google Sites URL’si.” Google’ın son derece güvenilir olduğuna dair yaygın varsayım, yanlış bir güvenlik duygusu katıyor ve bu da bu saldırının daha başarılı olmasına yardımcı oluyor.
Komut Satırı Tuzağı
Devireddy, blog yazısında bu tür bir saldırının site klonlama, güvenilir barındırma, gizlenmiş komutlar ve ayrıcalık yükseltmenin tehlikeli bir karışımını kullandığını belirtiyor. Asıl tehlike, sahte sitenin kullanıcıdan şifreli bir metin satırını kopyalayıp Terminal gibi bilgisayarlarının komut satırına yapıştırmasını istemesiyle başlar. Bu çok önemli bir adımdır çünkü bu, “çoğu insanın, özellikle de meraklı veya aceleci kullanıcıların uyabileceği noktadır” ve saldırganların da tam olarak ihtiyaç duyduğu şey budur.
Bu zararsız görünen komut, doğru şifre girilene kadar kullanıcıdan tekrar tekrar şifresini isteyen uzak bir komut dosyasını gizlice çalıştırır. Betik, çalındıktan sonra yükseltilmiş ayrıcalıklar veya tam yönetici erişimi elde etmek için parolayı kullanır (macOS sisteminde sudo komutunu kullanarak), ayrıcalık yükseltme olarak bilinen bir işlemdir. Artık kötü amaçlı program standart bir kullanıcı hesabından tam kontrole sahip bir hesaba geçebilir ve istediği her şeyi yapmasına olanak tanır.
Daha ayrıntılı incelemeler, sosyal mühendislik ve kullanıcı tarafından verilen yürütmenin bu karışımının, CrowdStrike ve SentinelOne gibi güçlü güvenlik araçlarını aşabilecek kadar etkili olduğunu ortaya çıkardı. Kurban olmaktan kaçınmak için, yalnızca bir şeyi aramanın ve yanlış bağlantıya tıklamanın tehlikeye yol açabileceğini unutmayın; bu nedenle, bir web sitesinin size verdiği komut satırı talimatlarını asla çalıştırmayın.