ClickFix dolandırıcılığının bir yıl süren trendinde yeni bir bükülmede, tehdit aktörleri, insani doğrulama sosyal mühendisliğini, kimlik bilgilerini hasat ve söndürme için kötü şöhretli olan Metastealer’ı sunmak için Windows Arama Protokolü ile harmanladı.
Saldırı yüzeysel olarak klasik ClickFix ve FileFix tekniklerine benzerken, sahte bir anydesk yükleyicisinden PDF olarak gizlenmiş bir MSI paketine kadar benzersiz enfeksiyon zinciri, “düzeltme” varyantlarının gelişen sofistike olmasını sağlar.
Saldırı, meşru anydesk uzaktan erişim aracı arayan bir hedef, AnyDeesk’e[.]Mürekkep/İndir/Anydesk.html, sahte bir Cloudflare Turnike İnsan Doğrulama İstemi içeren bir kimlik avı sayfası.
Sayfanın gizlenmiş JavaScript, bir kez bozulduktan sonra kurbanları doğrulamaya yönlendirir.[.]Mürekkep/Recaptcha-v2.php, burada doğrulama kutusuna tıklamak, ClickFix kampanyalarında ortak olan basit bir PowerShell yerine Windows Dosyası Gezgini Hack’i tetikler veya iletişim kutusu yürütme.
Kullanıcılara kodu RUN iletişim kutusuna (ClickFix) veya Dosya Gezgini adres çubuğuna (FileFix) yapıştırmalarını öğretmek yerine, kimlik avı sayfası, Search-MS URI protokolünün bir parçası olarak özel bir arama sorgusunun adını görüntüleyen Search-MS URI şemasından yararlanır.
Mağdurlar “Doğrula” yı tıkladığında, tarayıcıları Windows Dosya Gezgini’ni çağırır ve Search-MS URI’sindeki DisplayName parametresiyle tanımlanan özel bir arama sorgusu açar.
Bu sorgu sessizce saldırgan kontrollü bir SMB paylaşımına bağlanır ve kullanıcıya ReadMe anydesk.pdf adlı bir PDF gibi görünen bir şey sunar.
Gizlenmiş LNK kısayolu Snags Ana Maddeleri
Bir PDF kisvesinin arkasında kötü niyetli bir Windows kısayolu (LNK) dosyası bulunur. Yürütüldüğünde, kısayolun yükü iki eşzamanlı işlemi tetikler: Meşru anydesk yükleyicisini Microsoft Edge aracılığıyla sessizce indirir-kullanıcıyı gerçek bir uygulamanın yüklendiğine inanmaya itmek için daha büyüktür ve CHAT1’den sözde bir “PDF” getirir.[.]geçici bir dizin halinde saklayın.
En önemlisi, “PDF” yükleyicisi, indirme URL’sini oluşturmak için kurbanın % computername % ortam değişkenini kullanır, böylece her kampanyayı önceden yapılandırmadan ana bilgisayar adını toplar.
Chat1’in analizi1[.]Curl kullanıcı aracısıyla erişilen mağaza sunucusu, MSI paketinin tamamını ortaya çıkardı. İçeride, bir CustomActionDLL ve bir sıkıştırılmış kabin arşivi (Binary.bz.WrappedSetuprogram) İki temel kötü amaçlı bileşeni açın: bir temizlik JavaScript (1.js) ve Metastealer damlası LS26.exe.
“Çözüm”, saldırgan kontrollü bir istemi ile kurbanlara beslenen bir komutu kopyalamak ve yapıştırıyor, bu da saldırgan zincirini sessizce başlatıyor.
Özel exe koruyucusu ile korunan LS26.exe, bilinen Metastealer örnekleri ile aynı davranır, tarayıcı kimlik bilgilerini, kripto-cüzdan dosyalarını ve belge mağazalarını pesfiltrasyondan önce tarar.
Bu saldırı, geleneksel ClickFix ve FileFix cazibesi ile ortak unsurları paylaşmasına rağmen-yani, Captcha olarak gizlenen sosyal mühendislik istemleri-Search-MS URI’lerine ve SMB paylaşımlarına geçiş önemli bir evrime işaret ediyor.
Kullanıcıları komutları çalıştırma iletişim kutusuna yapıştırmaya ve dosya explorer adres çubuğundan yararlanan FileFix’in aksine, yeni varyant, kötü niyetli bir yükleyicinin yanında tanıdık bir uzak masaüstü kurulumu teslim ederek tamamen kullanıcı şüphesini atar.
Savunma önlemleri ve kullanıcı eğitimi
Windows Run iletişim kutusunu devre dışı bırakarak veya kısıtlayarak klasik ClickFix tehditlerini hafifleten kuruluşlar, Search-MS tabanlı yemlere karşı savunmasız olabilir. Savunmaları desteklemek için:
- Yetkisiz komut dosyası yürütme ve MSI kurulumlarını engellemek için katı uygulama beyaz listesini uygulayın.
- Search-MS gibi Windows protokol işleyicilerinin güvenilmeyen SMB paylaşımlarına erişmesini izleyin ve kısıtlayın.
- Kullanıcıları, herhangi bir komut yürütme veya dosya açılış düzeyini isteyen istenmeyen captchas veya doğrulama istemlerini sorgulamalarını eğitin.
- MSIExec.exe, cmd.exe indirmelerinin beklenmedik lansmanlarını işaretlemek için uç nokta algılama kurallarını dağıtın ve SMB tanıdık olmayan ana bilgisayarlarla bağlantıları paylaşın.
Tehdit aktörleri “düzeltin” tarzı saldırıları geliştirmeye devam ettikçe, meşru özellikleri sosyal mühendislikle harmanlamak güçlü bir kaçak taktiği olmaya devam edecektir. Metastealer gibi infostenerleri teslim etmeden önce bu gelişen enfeksiyon zincirlerini tespit etmek ve bozmak için uyanık kullanıcı eğitimi ve katmanlı teknik kontroller gereklidir.
IOC
| Gösterge | Tanım |
| HTTPS[://]Anydeesk[.]Mürekkep/İndir/Anydesk[.]HTML | Sahte Cloudflare turnikesi ile alan adı |
| Tacaawwamow[.]xyz | Metastealer C2 Etki Alanı |
| Yeosyyaewokgioa[.]xyz | Metastealer C2 Etki Alanı |
| CMQSQOMIWWKSMCSW[.]xyz | Metastealer C2 Etki Alanı |
| 38[.]134[.]148[.]74 | Metastealer C2 IP Adresi |
| Ls26.exe SHA256 0fc76b7f06aaa80a43abafc1e9b88348734e327f306d700c877c6a210fbd5e7 |
Metastealer Droper PE |
| CustomActiondll SHA256 FD622CF73E951A6DE631063ABA856487D7745DD1500ADCA61902B8DDE5FE1 |
MSI paketinde bulunan dosya |
| Binary.bz.WrappedSetupprogram SHA256 51392D7076984D5C5A42AFC12B6AF820F3254AF75C9958EF33190317 |
Kötü niyetli bileşenler içeren taksi dosyası |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.