Güvenilir haber kaynaklarının taklit edilmesini, kullanıcıları sistemlerinde kötü niyetli komutlar yürütme konusunda kandırmaya yönelik aldatıcı güvenlik doğrulama istemleriyle birleştiren sofistike yeni bir siber tehdit kampanyası ortaya çıktı.
Bir Reddit Post’a göre, tKötü amaçlı yazılım sunmak için sahte Cloudflare doğrulama ekranları kullanırken meşru BBC haber içeriği olarak Masquerades ClickFix saldırısı.
Saldırı nasıl çalışır
Saldırı, kullanıcılar meşru çevrimiçi reklamcılık veya arama sonuçları gibi görünen şeyleri yaşadığında başlar. Tıkladıktan sonra, kurbanlar meşru kaynaklardan çalınan makalelerle doldurulmuş bir BBC News web sitesinin ikna edici bir kopyasına yönlendirilir.
Bununla birlikte, otantik haber içeriği yerine, sahte site daha endişe verici bir amaç için bir teslimat mekanizması görevi görür.
Fabrikasyon haber sitesine göz attıktan sonra, kullanıcılar standart bir Cloudflare güvenlik doğrulama sayfası gibi görünen şeylerle karşılaşırlar. Bu sayfalar, otantik görünümlü logolar ve meşruiyet havası veren Ray Kimliği altbilgileri ile tamamlanan orijinal Cloudflare Turnike zorluklarının piksel mükemmel kopyalarıdır.
Sahte doğrulama sayfası, kullanıcıların internette görmeye alışkın oldukları tanıdık “İnsan Olduğunuzu Doğrula” onay kutusunu görüntüler.
Ancak, kullanıcılar doğrulamayı tamamlamaya çalıştıklarında, görünüşte bir dizi rutin adım gerçekleştirmek için talimatlar alırlar:
- Çalıştır iletişim kutusunu açmak için Windows + R tuşuna basın.
- Bir doğrulama komutunu yapıştırmak için Ctrl + V tuşlarına basın.
- Komutu yürütmek için Enter tuşuna basın.
Kullanıcıların fark etmediği şey, doğrulama düğmesini tıklamanın, sistemlerinin panosuna zaten kötü amaçlı bir PowerShell komutu yüklediğidir.
Yapıştırdıkları ve yürüttükleri komut meşru bir doğrulama aracı değil, çeşitli kötü amaçlı yazılım türlerini indirmek ve yüklemek için tasarlanmış kötü amaçlı kodlardır.
ClickFix tekniği 2024 ve 2025 yıllarında patlayıcı büyüme yaşadı. ESET’in tehdit raporuna göre, 2025’in ilk yarısında% 517’den fazla arttı ClickFix saldırıları, bunu tıkanmış saldırıların yaklaşık% 8’ini kimlik avlamasından sonra ikinci en yaygın saldırı vektörü haline getirdi.
Bu sosyal mühendislik tekniği, özellikle Cloudflare gibi güvenilir hizmetlerden yetkili görünümlü istemlerle sunulduğunda, teknik sorunları hızlı bir şekilde çözme doğal eğiliminden yararlanmaktadır.
Saldırının etkinliği, kullanıcıları gönüllü olarak kendi sistemlerinde kötü amaçlı kod yürütmeye ikna ederek geleneksel güvenlik önlemlerini atlama yeteneğinden kaynaklanmaktadır.
Büyüyen tehdit manzarası
Siber güvenlik araştırmacıları, bu saldırının farklı platformları ve hizmetleri hedefleyen birden fazla varyantını belirlediler. Sahte BBC haber sitelerinin ötesinde, saldırganların Microsoft, Google Chrome ve hatta belirli endüstrilere özgü ulaşım ve lojistik yazılımı da dahil olmak üzere çeşitli güvenilir varlıkların taklit ettiği gözlemlenmiştir.
Bu kampanyalar aracılığıyla sunulan kötü amaçlı yazılım çeşitli ve tehlikelidir. Güvenlik firmaları, bilgi çalma, fidye yazılımları, uzaktan erişim truva atları, kriptominerler ve hatta ulus devlet uyumlu tehdit aktörlerinden özel kötü amaçlı yazılımların dağıtımına yol açan tıklama saldırıları rapor eder. Bu kampanyalar aracılığıyla dağıtılan popüler kötü amaçlı yazılım aileleri arasında Lumma Stealer, Darkgate, Asyncrat ve Netsupport bulunmaktadır.
Bu saldırıları özellikle ilgili kılan şey, sofistike kaçırma yetenekleridir. Kötü niyetli PowerShell komutları genellikle meşru görünen hizmetlerden baz64 kodlu yükleri alır ve sanal makine ortamlarını tespit ederse yürütmeyi sonlandıran anti-analiz anti-analiz özellikleri içerir.
Bu, birçok antivirüs platformunda geleneksel güvenlik taramasından kaçınmalarını ve sıfır algılama elde etmelerini sağlar.
Sahte Cloudflare sayfaları, doğrudan Cloudflare’nin resmi web sitesinden kopyalanan otantik pazarlama metnini içerecek şekilde profesyonel olarak hazırlanmıştır, bu da onları meşru doğrulama ekranlarından ayırt etmeleri son derece zorlaştırır.
Bazı varyantlar, kullanıcıları meşru bir güvenlik sürecini tamamladıklarına daha fazla ikna etmek için sahte ilerleme göstergeleri ve başarı mesajları bile gösterir.
ClickFix yöntemlerinin ötesindeki son gelişmeler arasında güvenlik araştırmacısı Bay D0X kimlikED ED, RUN iletişim kutusu yerine Windows Dosya Gezgini’nden yararlanan FileFix adlı yeni bir varyant, kullanıcılara kötü niyetli komutları Dosya Explorer adres çubuğuna yapıştırmalarını öğretin.
Bu evrim, tehdit aktörlerinin farkındalık arttıkça etkinliği korumak için tekniklerini nasıl uyarlamaya devam ettiklerini göstermektedir.
Hafifletme
Kuruluşlar ve bireyler bu saldırılara karşı korumak için birkaç adım atabilirler. Boston College BT ve diğer güvenlik uzmanları, ne kadar meşru göründüklerine bakılmaksızın, web sitelerinden asla istenmeyen komutlar yürütmemeyi önerir. Temel savunma önlemleri şunları içerir:
- Windows Run iletişim kutusunu devre dışı bırakma Kötü amaçlı komutların yürütülmesini önlemek için grup politikası veya kayıt defteri değişiklikleri yoluyla.
- Kullanıcıları sahte doğrulama ekranlarını ve şüpheli komut istemlerini tanımayı eğitmek.
- Olağandışı Powershell veya Komut-Line etkinliğini tespit etmek için davranışsal izlemenin uygulanması.
- Davranışsal analiz yetenekleriyle güncellenmiş güvenlik yazılımını korumak.
Güvenlik uzmanları, CloudFlare gibi meşru hizmetlerin, kullanıcıların doğrulama süreçlerinin bir parçası olarak doğrudan işletim sistemleriyle doğrudan etkileşime girmelerini veya terminal komutlarını yürütmelerini gerektirdiğini vurgulamaktadır. Bu tür işlemleri talep eden herhangi bir web sitesi hemen şüpheli ve önlenmelidir.
Siber güvenlik topluluğu, ClickFix tehdidine gelişmiş algılama yetenekleri ve farkındalık kampanyaları ile yanıt verdi. Microsoft, Storm-1865 gibi tehdit oyuncusu atamaları altında belirli kampanyaları izlerken, ESET ve Proofpoint gibi güvenlik firmaları tıklama fix saldırılarını tanımlamak için özel algılama kuralları geliştirdiler.
ClickFix saldırılarının hızlı evrimi ve artan sofistike, teknik güvenlik açıklarından ziyade insan psikolojisini kullanan sosyal mühendislik tekniklerine karşı savunmanın devam eden zorluğunu vurgulamaktadır.
Bu saldırılar daha yaygın hale geldikçe, sürekli uyanıklık ve kullanıcı eğitimi siber güvenlik savunma stratejilerinin kritik bileşenleri olmaya devam etmektedir.
Sahte BBC haber sitelerini hileli bulutflare doğrulamasıyla birleştiren bu son kampanya, siber suçlular tarafından kullanılan karmaşıklık ve aldatmacadaki bir artışla ilgili, tüm internet kullanım seviyelerinde artan farkındalık ve sağlam güvenlik önlemleri ihtiyacının altını çiziyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.