Yeni bir ClickFix kampanyası, tarayıcılarında çalışan sahte bir Windows güncellemesiyle kullanıcıları kandırıyor. “Sahte İşletim Sistemi Güncellemesi” adı verilen bu dolandırıcılık, insanların Microsoft’un tanıdık mavi ölüm ekranına (BSOD) olan güveninden yararlanıyor.
Kötü amaçlı yazılım dağıtıyor ve sosyal mühendisliğin teknik hilelerden nasıl daha etkili olabileceğini gösteriyor.
Birleşik Krallık Ulusal Sağlık Hizmetinde çalışan siber güvenlik araştırmacısı Daniel B., saldırıyı ilk olarak geçen ay kötü niyetli çevrimiçi tehditleri araştırırken fark etti.
LinkedIn gönderisinde ayrıntılı olarak belirtildiği gibi, dolandırıcılık öncelikle groupewadesecurity alan adı üzerinde gerçekleştiriliyor[.]com. Siteyi kötü amaçlı reklam veya spam bağlantıları aracılığıyla sık sık ziyaret etmek, Windows işletim sistemi çökmesini veya güncelleme istemini taklit eden tam ekran bir kaplamayı tetikler.
Hata kodları ve ilerleme çubuklarıyla tamamlanan sahte BSOD, hem PC’lerde hem de akıllı telefonlarda belirerek panik ve aciliyet yaratıyor.
Bunu daha önceki ClickFix varyantlarından ayıran şey, çok adımlı aldatmacasıdır. İlk ekranın ardından kurbanlara klavye kısayollarını kullanarak üç “manuel düzeltme” yapmaları talimatı veriliyor: “hizmetleri yeniden başlatmak için Ctrl+Alt+Del tuşlarına basmak, simüle edilmiş bir komut istemine sahte bir komut girmek ve son olarak bağlantılı kötü amaçlı bir siteden bir “kurtarma aracı” indirmek.
Gerçekte, bu eylemler saldırganlara uzaktan erişim sağlar veya bilgi hırsızları ve fidye yazılımı yükleyicileri yükler. Kampanyanın gelişmişliği, cihazlar arası uyumluluğu ve anında yönlendirmelerden kaçınılması, tarayıcı korumalarının işaretlenmesini zorlaştırmasıdır.
Kullanıcıları tıklama yoluyla var olmayan sorunları “düzeltmeleri” için kandıran ClickFix saldırıları, 2020’den bu yana tarayıcıları rahatsız ediyor. Ancak saldırganlar hiper-gerçekçi grafikler, yerelleştirilmiş diller ve Salı Yaması gibi gerçek olaylara bağlı zamanlı tuzaklar kullanarak taktiklerini geliştirdikçe, bu varyantın özellikle sinsi olduğu ortaya çıkıyor.
URL’ler ve veriler de dahil olmak üzere güvenlik ihlali göstergeleri, ThreatFox ve urlscan.io gibi platformlarda “Sahte İşletim Sistemi Güncellemesi” etiketi altında kataloglanarak tehdit avcılarının yayılmayı izlemesine yardımcı oluyor.
Uzmanlar, bu tür kampanyaların kritik bir boşluğu vurguladığı konusunda uyarıyor: Uç nokta tespit araçları birçok otomatik tehdidi yakalarken, insan hatası en zayıf halka olmaya devam ediyor.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC) bir sözcüsü, “Kullanıcıların dikkatli olması ve düzenli siber güvenlik eğitimi, güvenlik duvarları kadar hayati öneme sahiptir” dedi.
Kuruluşlar, şüpheli etki alanlarını engellemek için uBlock Origin gibi tarayıcı uzantılarının yanı sıra bu senaryoları simüle eden farkındalık programlarına öncelik vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
