‘Şimdi Düzelt’ ve ‘Bot Doğrulama’ Lures Teslim Edilir ve Kötü Yazılımlar Yeter

Sofistike bir tarayıcı tabanlı kötü amaçlı yazılım dağıtım yöntemi, ClickFix olarak adlandırılan, siber güvenlik için önemli bir tehdit olarak ortaya çıkmıştır.

“Şimdi düzelt” ve “Bot Doğrulaması” gibi aldatıcı istemlerden yararlanan ClickFix, kullanıcıları tanıdık sistem eylemlerinden yararlanarak kötü amaçlı komutlar yürütmeye kandırır.

Bu teknik, pano kaçırma ve kötü amaçlı yazılımları yürütmek için kullanıcı etkileşimine dayanarak geleneksel indirme iş akışlarını atlar.

ClickFix Tekniği: Bir Arıza

İlk olarak 2014 ortalarında gözlemlenen ClickFix, kullanıcıları kötü amaçlı yazılım çalıştırmaya yönlendirmek için sistem uyarıları veya captcha zorlukları olarak gizlenmiş aldatıcı web sayfaları kullanır.

Enfeksiyon süreci tipik olarak üç adımda ortaya çıkar:

1. Pano Kaçırımı: Kullanıcılara Windows + R’ye basmaları, Run iletişim kutusunu açmaları ve ardından CTRL + V, JavaScript aracılığıyla sessizce kopyalanan önceden yüklenmiş bir komutu yapıştırmak için yapmaları söylenir.
2. Uygulamak: Enter tuşuna basın, yükü yürütür, genellikle başlatılır mshta.exe veya PowerShell uzak komut dosyalarını alıp çalıştırmak için.
3. Yük dağıtım: Varyant’a bağlı olarak, kötü amaçlı yazılımlar, Base64 kodlu komut dosyalarına gömülü bilgi çalanlar veya Fileless PowerShell komutlarını içerebilir.

Rapora göre, bu yöntem kullanıcıların rutin sistem istemlerine olan güvenini kullanıyor ve bu da onu siber suçlular için düşük sürtünmeli bir saldırı vektörü haline getiriyor.

ClickFix’in gerçek dünya örnekleri

Son araştırmalar, aktif olarak ClickFix tekniklerini kullanan çeşitli alanları ortaya çıkardı:

• Bitcoin temalı alanlar: Gibi siteler soubtcevent[.]com Kullanıcı etkileşimi üzerine CAPTCHA doğrulama sayfalarını taklit edin ve Base64 kodlu PowerShell komut dosyalarını çalıştırın. Bu komut dosyaları, kötü niyetli yürütülebilir ürünler içeren Zip Arşivleri aracılığıyla Lumma Stealer ve Cryptbot gibi kötü amaçlı yazılımlar sunar (verify1.exe– verify2.exe).
• Kimlik Bilgisi Hırsızlık Kampanyaları: Gibi alanlar timestesol[.]com Bir “robot doğrulama” istemini tamamladıktan sonra kullanıcıları sahte oturum açma sayfalarına yönlendirerek Zoho Office Suite kimlik bilgilerini hedefleyin. Kaynak koddaki sert kodlanmış telgraf bot jetonları, çalınan kimlik bilgilerinin doğrudan saldırgan kontrollü uç noktalara gönderilmesini önerir.
• Tehlikeye atılan altyapı: Web siteleri gibi riverview-pools[.]com PowerShell komutlarını kullanıcıların panolarına kopyalayarak, tehlikeye atılan sunuculardan eventsiz yükler sunar. Bu yükler, kötü amaçlı yazılım yürütme düzenlemek için ikincil komut dosyalarını daha da alır.

Uzlaşma Göstergeleri (IOCS)

Savunuculara ClickFix ile ilgili etkinliği tanımlamada yardımcı olmak için araştırmacılar, kritik IOC’leri gözlemlenen alanlardan ve dosyalardan derlediler:

Bu gözlemlenebilirler, ClickFix kampanyalarını destekleyen aktif altyapı vurgular ve savunucuların kötü amaçlı alanları ve dosyaları proaktif olarak engellemelerini sağlar.

ClickFix tarzı saldırılarla mücadele etmek için kuruluşlar sağlam savunmaları benimsemelidir:

• PowerShell veya mshta.exe.
• Olağandışı komut dosyası etkinliğini ve pano kullanımını günlüğe kaydedecek şekilde yapılandırılmış uç nokta algılama araçlarını dağıtın.
• Captcha zorluklarını veya güvenlik istemlerini taklit eden doğrulama tarzı lüre alan adlarına erişimi engeller.
• Çok faktörlü kimlik doğrulamayı (MFA) kimlik bilgisi hırsızlığı risklerini azaltmaya teşvik edin.

ClickFix, aldatıcı istemlerle kullanıcı güvenini kullanan tarayıcı tabanlı saldırı vektörlerinde artan bir eğilimi temsil eder.

Davranış kalıplarını anlayarak ve IOC’lerden yararlanarak, savunucular bu gelişen tehdit manzarasına karşı algılama yeteneklerini güçlendirebilirler.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!