Aldatıcı Cloudflare doğrulama sayfaları aracılığıyla kötü amaçlı yazılım sunmak için kullanıcıların rutin güvenlik kontrollerine aşinalıklarından yararlanan gelişmiş yeni bir sosyal mühendislik saldırısı kampanyası ortaya çıktı.
ClickFix saldırı tekniği, kimlik avı metodolojisinde, kullanıcıları doğrudan kendi sistemlerinde kötü niyetli komutlar yürütmeleri için manipüle etmek lehine terk ederek, kimlik avı metodolojisinde bir evrim ile ilgili bir evrimdir.
Saldırı, kurbanlara, resmi marka, otantik ifadeler ve meşruiyet yanılsamasını güçlendiren dinamik olarak üretilen Ray kimlikleri ile tamamlanan meşru bir Cloudflare turnikesi arayüzü gibi görünen şey sunarak faaliyet gösteriyor.
.png
)
Kullanıcılar bu sahte doğrulama sayfalarıyla karşılaştıklarında, “Site bağlantısının güvenli olup olmadığını kontrol etmek – insan olduğunuzu doğrulayın” gibi tanıdık mesajlar görürler, gerçek Cloudflare koruma mekanizmalarından ne bekledikleriyle aynıdır.
Bu hesaplanan taklit, İnternet kullanıcılarının dikkatli bir inceleme yapmadan güvenlik istemlerini hızlı bir şekilde tıklamak için koşullandırıldığı bir fenomen olan doğrulama yorgunluğundan yararlanır.
Slashnext araştırmacıları, bu ortaya çıkan tehdidi, devam eden tehdit istihbarat operasyonlarının bir parçası olarak belirlediler ve saldırının özellikle geleneksel güvenlik önlemlerini atlamaya yönelik sinsi yaklaşımının dikkat çekti.
Teknik, sofistike istismar veya sıfır günlük güvenlik açıkları gerektirmeyen, yerleşik güvenlik sağlayıcılarına kullanıcı güvenini artırdığı için oldukça etkili olduğu kanıtlanmıştır.
Bunun yerine, saldırı, kullanıcıları rutin bir doğrulama sürecini tamamlama kisvesi altında gönüllü olarak kötü amaçlı kod yürütmeye ikna etmeye dayanır.
Kampanya, Lumma ve Stealc gibi bilgi çalanlar ve Netsupport Manager gibi uzaktan erişim truva atları da dahil olmak üzere çeşitli kötü amaçlı yazılım aileleri teslim etti.
Saldırının başarısı, şüpheli yürütülebilir dosyaları indirmek yerine, kullanıcıların meşru sistem yardımcı programlarını kötü amaçlı parametrelerle yürütmelerini sağlayarak geleneksel güvenlik filtrelerini atlama yeteneğinden kaynaklanmaktadır.
Bu yaklaşım, indirilen ikili dosyaları taramaya odaklanan birçok uç nokta koruma çözümünü etkili bir şekilde atlatıyor.
Teknik enfeksiyon mekanizması ve pano sömürüsü
ClickFix saldırısı, tamamen kurbanın tarayıcı ortamında meydana gelen sofistike bir pano manipülasyon tekniği kullanır.
Kullanıcılar, “İnsan Olduğunuzu Doğrula” onay kutusunu tıklayarak sahte CloudFlare doğrulama sayfasıyla etkileşime girdiğinde, kötü amaçlı web sayfasının gömülü JavaScript derhal gizlenmiş bir PowerShell komutunu içeren görünmez bir metin öğesi oluşturan gizli bir komut dosyası yürütür.
Bu komut, standart Web API’leri kullanılarak otomatik olarak kullanıcının panosuna kopyalanır ve pano uzlaşmasının görünür göstergesi olmaz.
Saldırı sayfası daha sonra kullanıcılara belirli anahtar kombinasyonlarına basmalarını söyleyen meşru doğrulama adımları sunar: Çalıştırma iletişim kutusunu açmak için Windows+R, ardından pano içeriğini yapıştırmak için Ctrl+V ve son olarak komutu yürütmek için girin.
Bu noktada, tehlikeli PowerShell yükü zaten kullanıcının panosunda ikamet ediyor ve bilmeden yürütülmeyi bekliyor.
Kötü niyetli komut tipik olarak, uzak sunuculardan ikinci aşamalı kötü amaçlı yazılımları geri alan ve yürüten, genellikle 64 kodlama veya algılamayı önlemek için diğer gizleme tekniklerini kullanan tek astar olarak yapılandırılır.
.webp)
Kullanıcıların saldırı sırasının başında karşılaştıkları ilk sahte bulutflare sayfası.
.webp)
Bu, kullanıcıları kötü amaçlı yazılım yükünü yürütmeye yönlendiren adım adım talimatları gösterir.
.webp)
Bunun yanı sıra, bu, doğrulama işlemi sırasında kullanıcının panosuna kopyalanan gizli PowerShell komutunu tasvir eder.
Saldırı altyapısının tamamı, gerekli tüm görüntüleri, stilleri ve komut dosyalarını yerel olarak yerleştiren, sahte sayfanın güvenlik uyarılarını tetikleyebilecek harici kaynaklar gerektirmeden saldırganın seçilen etki alanına sorunsuz bir şekilde yüklemesini sağlayan tek, bağımsız bir HTML dosyasında bulunur.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği