Saldırganlar, kullanıcıları oturum jetonlarını teslim etmeleri için kandırarak Facebook hesabı kimlik bilgilerini çalan ClickFix adlı yaygın bir kampanya başlattı.
Saldırı, karmaşık kötü amaçlı yazılım veya yazılım açıklarından yararlanmak yerine, kurbanlara sahte bir doğrulama süreci boyunca rehberlik edecek sosyal mühendisliğe dayanıyor.
Bu kampanya 2025’in başından bu yana önemli ölçüde büyüdü ve Facebook doğrulama rozeti isteyen içerik oluşturucuları ve işletme sayfası sahiplerini hedeflemeye devam ediyor.
ClickFix saldırısı güven ve aciliyeti birleştirerek çalışır. Mağdurlar, ücretsiz doğrulanmış rozetler veya acil hesap incelemeleri hakkında mesajlar alıyor. Bağlantıya tıkladıklarında, tam olarak Facebook’un resmi yardım merkezi veya doğrulama portalına benzeyen bir sayfaya yönlendiriliyorlar.
.webp)
Sayfada, kullanıcının doğrulama için seçildiği veya hesabının politika ihlalleri nedeniyle işaretlendiği açıklanmaktadır. Bu, hızlı hareket etme baskısı yaratır.
Sahte sayfaya girdikten sonra kurbanlar, yasal görünen ancak kimlik doğrulama jetonlarını çıkarmak için tasarlanmış çok aşamalı bir süreçten geçiriliyor.
Saldırganlar, kullanıcılara tarayıcılarının geliştirici araçlarına nasıl erişeceklerini ve Facebook oturum belirteçlerini, özellikle de c_user ve xs etiketli değerleri nasıl kopyalayacaklarını öğreten eğitici videolar gösteriyor. Kullanıcılara bunun normal bir doğrulama adımı olduğu ve kimliklerini doğrulamak için gerekli olduğu söylendi.
Hunt.io analistleri ve araştırmacıları, bu kampanyayı Unit42 Tehdit İstihbaratının Aralık 2025’te ilk kez bildirmesinden sonra tespit etti. Araştırma, saldırganların en az 115 farklı kimlik avı sayfası ve sekiz veri toplama uç noktası oluşturduğunu ortaya çıkardı.
.webp)
Kampanya Ocak 2025’ten beri aktif ve öncelikli olarak içerik oluşturucuları, para kazandıran sayfaları ve doğrulama durumu arayan işletmeleri hedefliyor.
Çalınan tek bir oturum jetonu, saldırganlara tam hesap kontrolü sağlayarak şifreleri değiştirmelerine, ödeme bilgilerini çalmalarına ve kurbanın kimliğine bürünmelerine olanak tanır.
Bu kampanyanın arkasındaki altyapı, tespit edilmekten kaçınmak için kasıtlı olarak birden fazla barındırma platformuna dağıtılmıştır.
Kimlik avı sayfaları Netlify, Vercel, Wasmer, GitHub Pages, Surge ve diğer kötüye kullanım dostu hizmetlerde barındırılır. Bir sayfa kaldırıldığında, saldırgan birkaç dakika içinde yeni bir sayfa açar.
Çalınan oturum jetonları, kimlik avı sayfalarından ayrılan Formspark ve submit-form.com gibi hizmetler tarafından desteklenen ayrı veri toplama uç noktalarına gönderilir.
Saldırı Akışı Nasıl Çalışır?
Enfeksiyon mekanizması, kesintisiz hissetmek için tasarlanmış bir yönlendirme zinciriyle başlar. Kullanıcılar, sosyal medyadan ücretsiz bir mavi rozet vaat eden veya sayfalarının işaretlendiğini iddia eden bir bağlantıya tıklayabilir.
Bu ilk sayfada, güvenilirlik oluşturmak için ses efektleri ve zamanlanmış animasyonlar içeren animasyonlu bir doğrulama ekranı görüntülenir.
Animasyon tamamlandıktan sonra kurban otomatik olarak logolar, renkler ve resmi görünümlü dil de dahil olmak üzere Facebook’un markasını tamamen taklit eden ikinci bir sayfaya yönlendiriliyor.
.webp)
Bu aşamada öne çıkan kırmızı uyarılar ve acil mesajlar kullanıcıyı devam etmeye itiyor.
Sayfada, anında yanıt verilmesini tetiklemek için “İşlem Gerekli” düğmeleri ve geri sayım sayaçları gibi bir şey görüntülenir.
Mağdura, manuel çıkarma sürecini açıkça anlatan gömülü bir eğitim videosu sunulur. Video, tarayıcı geliştirici araçlarının nasıl açılacağını, Depolama veya Uygulama sekmesine nasıl gidileceğini ve oturum çerezi değerlerinin tam olarak nasıl kopyalanacağını gösterir.
Bu, kurbanların kimlik doğrulama jetonlarını gönüllü olarak teslim ettikleri kritik adımdır.
Kullanıcı c_user ve xs değerlerini bir form alanına girdiğinde, JavaScript kodu, meşru Facebook oturum kalıplarıyla eşleştiğinden emin olmak için belirteçleri gerçek zamanlı olarak doğrular.
Bu filtreleme, saldırganın arka ucundaki gürültüyü azaltır ve yalnızca geçerli, yeniden kullanılabilir oturumların yakalanmasını sağlar.
Komut dosyası, mağdurlara 24 saat boyunca çıkış yapmamalarını söyleyen talimatlar içeriyor; bu, toplanan çerezlerin, hesabın anında ele geçirilmesi için yeterince uzun süre geçerli kalmasını sağlıyor.
İlk token hırsızlığı başarılı olursa saldırgan, hesaba anında erişim kazanır ve değişiklik yapmaya başlayabilir.
Ancak çalınan oturumun daha sonra çalışamaması durumunda saldırının geri dönüş seçenekleri vardır. Sahte doğrulama sayfası, kurbanlardan yedekleme veya kurtarma kodları sağlamalarının istendiği ek toplama aşamaları sunuyor.
Bu kodlar toplandıktan sonra ek şifre doğrulaması gerektiğini belirten bir açılır pencere belirir.
Bu son istek, kullanıcıları gerçek Facebook şifrelerini teslim etmeleri konusunda kandırıyor ve oturum belirteci geçersiz hale gelse bile saldırganlara yeniden erişim elde etmeleri için birden fazla yol sunan tam bir kimlik bilgisi toplama zincirini tamamlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
