CybersecurityNews araştırmacı ekibi, kullanıcıları PowerShell tabanlı kötü amaçlı yazılımları indirmek ve yürütmek için aldatıcı Wi-Fi portallarını kullanarak halkın ücretsiz internet erişimi ihtiyacını kullanan sofistike bir sosyal mühendislik kampanyası ortaya çıkardı.
“ClickFix” saldırısı olarak adlandırılan bu yöntem, bir kullanıcının kendi tarayıcı eylemlerini, basit bir insan doğrulama adımı kisvesi altında sistemlerini tehlikeye atmaya yönlendirir.
Saldırı, “özgür Wi-Fi” vaadinin güçlü bir cazibesi olduğu havaalanları gibi kamusal alanlardaki bireyleri hedefliyor. Bağlanmaya çalışan şüpheli olmayan kullanıcılar, profesyonel olarak tasarlanmış ancak sahte bir esir portalına yönlendirilir.
Genellikle meşru alanlar yerine güvensiz IP adreslerinde barındırılan bu sayfalar, gerçek ağ giriş ekranlarını taklit eder, logolarla tamamlanmış ve “robot olmadığını kanıtlamak” için bir captcha istemini, yanlış bir güvenlik duygusu oluşturmayı amaçlayan bir özelliktir.
Aldatıcı doğrulama işlemi
ClickFix saldırısının çekirdeği, kullanıcı davranışının akıllı manipülasyonunda yatmaktadır. Bir kullanıcı sahte captcha ile etkileşime girdikten sonra, bir açılır pencere bir dizi “doğrulama adımı” ile görünür.
Basit bir tıklama yerine, talimatlar kullanıcıyı belirli bir klavye kısayol dizisiyle yönlendirir: Ctrl+S Web sayfasını kaydetmek için tarayıcının indirme penceresine gidin ve basın. Enter Dosyayı açmak için CybersecurityNews araştırmacı ekibi dedi.
Bu dizi, yürütülebilir dosyaları indirme ile ilgili standart tarayıcı güvenlik uyarılarını atlamak için tasarlanmış bir sosyal mühendislik hilesidir.
Kullanıcıya sayfayı kaydetme ve dosyayı kendileri çalıştırması talimatını vererek, saldırganlar kötü amaçlı kod yürütme konusunda etkin bir şekilde onay alırlar. İndirilen dosya bir görüntü veya belge değil, enfeksiyonu başlatan bir komut dosyasıdır.
Kullanıcı farkında olmadan indirilen dosyayı yürüttüğünde, kötü amaçlı bir PowerShell komut dosyası başlatılır.
Saldırı zincirinin Any.Run Sandbox ile analizi, bu komut dosyasının bir indirici olarak hareket ettiğini ve birincil kötü amaçlı yazılım yükünü almak için bir komut ve kontrol sunucusuna bağlantı kurduğunu ortaya koyuyor. Bu kampanyada, yük bir ağ truva atı olarak tanımlanmıştır.
PowerShell saldırganlar için güçlü bir araçtır, çünkü pencerelere entegre edilir ve komutları, komut dosyalarını ve yükleri doğrudan bellekte yürütebilir, genellikle geleneksel antivirüs çözümleri tarafından algılanır.
Bu tür evli olmayan kötü amaçlı yazılımlar, hassas bilgileri çalmak, fidye yazılımlarını dağıtmak veya uzlaşmış cihaza uzaktan erişim için kalıcı bir arka kapı sağlamak gibi çok çeşitli kötü amaçlı etkinlikler için kullanılabilir.
Bu tehdide karşı korunmak için, kullanıcılar genel Wi-Fi’ye bağlanırken uyanık kalmalı, oturum açma sayfalarının URL’lerini dikkatlice incelemeli ve doğrulama için olağandışı klavye komutları gerektiren herhangi bir web sitesine çok dikkat etmelidir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.