Siber güvenlik araştırmacıları, kullanıcıları kötü niyetli PowerShell komutlarını yürütmeye zorlamak için sahte Cloudflare Turnstile doğrulama arabirimlerini kullanırken güvenilir BBC haber içeriğini taklit eden yeni bir ClickFix saldırı varyantını ortaya çıkardılar.
Siber Güvenlik Haberleri ve ESET gibi kaynaklardan yapılan son analizlerde ayrıntılı olarak açıklanan bu kampanya, Infostealers, Fidye Yazılımları ve Uzaktan Erişim Truva atları dahil olmak üzere bir dizi kötü amaçlı yazılım yükü sunmak için kullanıcının meşru web güvenlik protokollerine aşinadır.
Saldırının tasarımı, kurban tarafından başlatılan komuta yürütmeye dayanarak geleneksel uç nokta tespitini atlayarak imza tabanlı savunmalardan kaçan insan merkezli sömürü vektörlerine geçişini vurguluyor.
Bu tehdidin operasyonel mekaniği, manipüle edilmiş arama motoru sonuçları veya kurbanları titizlikle klonlanmış bir BBC haber portalına yönlendiren çevrimiçi reklamlar gibi aldatıcı giriş noktalarıyla başlar.
Bu fabrikasyon site, kullanıcıları uzun süreli etkileşime sokan bir güvenilirlik yanılsaması yaratarak, otantik kaynaklardan gelen çalı makaleleri içerir.
Navigasyon üzerine, site, doğrudan resmi Cloudflare belgelerinden kaldırılan logoların, Ray Ids’in hassas kopyalarıyla birlikte Cloudflare’nin insan doğrulama sürecini taklit eden simüle edilmiş bir güvenlik zorluğunu tetikler.
Kullanıcılara, Base64 kodlu bir PowerShell komut dosyasını sistem panosuna gizlice kopyalayan bir “İnsan Olduğunuzu Doğrula” onay kutusuyla etkileşime geçmeleri istenir.
Sonraki talimatlar, Windows Run iletişim kutusunu Windows + R üzerinden çağırmaya, pano içeriğini CTRL + V ile yapıştırmaya ve farkında olmadan Lumma Stealer, Darkgate, Asyncrat veya Netsupport gibi kötü amaçlı yazılımları yüklemeye yönlendirin.
Bu yöntem, görünür teknik engelleri çözmeye yönelik refleksif kullanıcı davranışından yararlanır ve onu teknik olarak anlayışlı bireylere bile oldukça etkili hale getirir.
Hızlı proliferasyon
2024 ve 2025’e kadar, ClickFix saldırıları önemli ölçüde çoğaldı, ESET 2025’in ilk yarısında% 517 artış olduğunu bildirerek, kimlik avından sonra en yaygın ikinci vektör olarak konumlandırıldı ve bloke edilen olayların yaklaşık% 8’ini içeriyordu.
Tekniğin başarısı, psikolojik manipülasyonundan kaynaklanmakta, haber kuruluşları veya güvenlik hizmetleri gibi yetkili kuruluşlardan içeriğe erişmek için aciliyeti avlar.
Varyantlar, Microsoft, Google Chrome ve sektöre özgü yazılımı taklit ederek BBC takviyesinin ötesine geçer, dağıtım mekanizmalarını çeşitlendirir ve özel lürelere karşı savunmasız hedef sektörleri hedefler.
Kötü amaçlı yazılım çeşitliliği, genellikle sıfır antivirüs tespiti elde etmek için sanallaştırılmış ortamlarda tespit eden ve iptal eden anti-forensik önlemlerle konuşlandırılan, ulus-devlet aktörlerine atfedilen kriptominerleri ve gelişmiş kalıcı tehditleri kapsayan tehdidi daha da artırır.
Kaçınma sofistike, görünüşte iyi huylu bulut hizmetlerinden sık sık gizlenmiş kodu alan ve kum havuzu göstergeleri için çalışma zamanı kontrolleri içeren yüklerin yapısında belirgindir.
Araştırmacı Mr.D0X tarafından tanımlanan FileFix varyantı gibi son yenilikler, kullanıcıları komutları Windows Dosya Explorer adres çubuğuna yapıştırmaya yönlendirerek, geleneksel çalışma iletişim kutusu azaltmalarını atlatarak yaklaşımı uyarlıyor.
Rapora göre, bu uyarlamalar, artan farkındalığa yanıt olarak saldırganların çevikliğinin altını çiziyor ve Microsoft tarafından Storm-1865 gibi atamalar altında izlenen kampanyalar.
Sahte ilerleme çubuklarının ve onay diyaloglarının entegrasyonu, aldatmayı artırır ve gerçek bulutflare zorluklarından farklılaşmayı adli inceleme olmadan aşırı zorlayıcı hale getirir.
Savunma önlemleri
Bu gelişen tehdit manzarasına karşı koymak için güvenlik uzmanları, kullanıcı eğitimini ve sistem sertleşmesini vurgulayan çok katmanlı bir savunma stratejisini savunmaktadır.
Temel öneriler arasında, anormal PowerShell yürütmelerini veya pano manipülasyonlarını işaretleyen davranışsal analiz araçlarının yanı sıra, yetkisiz komut çağırma işlemini engellemek için Windows Run iletişim diyaloğunun grup ilkesi nesneleri veya kayıt defteri düzenlemeleri aracılığıyla devre dışı bırakılması yer alır.
Kuruluşlar, Cloudflare gibi meşru sağlayıcılar tarafından asla kullanılmayan bir uygulama Web Doğrulaması sırasında istenmeyen işletim sistemi düzeyinde etkileşimler gibi kırmızı bayrakları vurgulayan eğitim programlarına öncelik vermelidir.
Makine öğrenimi tabanlı anomali algılama ile gelişmiş uç nokta algılama ve yanıt (EDR) çözümleri, yürütme sonrası göstergeleri tanımlamak için gereklidir ve sistemleri Windows File Explorer gibi araçlarda ilgili güvenlik açıklarına karşı yamalı tutar.
Siber güvenlik sektörünün yanıtı proaktif olmuştur, Proofpoint ve ESET gibi firmalar tehdit istihbarat beslemelerini arttırır ve tıklama deseni tanıma için sezgisel kurallar geliştirir.
Daha geniş farkındalık girişimleri, bu saldırıların yazılım kusurlarından ziyade psikolojik güvenlik açıklarından yararlandığını ve güvenlik duruşlarındaki insan faktörlerine odaklanmayı gerektirdiğini vurgulamaktadır.
Varyantlar ortaya çıkmaya devam ettikçe, kimliğe bürünmeyi etkileşimli aldatma ile harmanlamak, tehdit avı ve istihbarat paylaşımı yoluyla devam eden uyanıklık çok önemlidir.
Bu BBC-Cloudflare hibrit kampanyası, dezenformasyon ve kötü amaçlı yazılım sunumunun artan yakınsamasını örneklendirerek, dijital ekosistemlerdeki güven modellerinin bu tür sinsi sosyal mühendislik paradigmalarından kaynaklanan riskleri azaltmaya çağırıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!