Korkunç DarkGate kötü amaçlı yazılımını dağıtmak için aldatıcı “Word Online” hata mesajlarıyla kullanıcıları hedef alan “ClickFix” adlı gelişmiş bir sosyal mühendislik kampanyası ortaya çıktı.
Geleneksel otomatik indirmelerden farklı olarak, bu saldırı, kullanıcıları kötü amaçlı komutları manuel olarak yürütmeye yönlendirerek, tanıdık sorun giderme prosedürlerine olan güvenlerini suistimal etmeye dayanır.
Kampanya özellikle eksik bir tarayıcı uzantısı hatasını taklit ederek mağdurları sözde sorunu çözmek için “Nasıl düzeltilir” düğmesini tıklamaya teşvik ediyor.
Saldırı, bir kullanıcının sahte bildirim görüntüleyen, güvenliği ihlal edilmiş veya kötü amaçlı bir web sayfasını ziyaret etmesiyle başlar.
İstem, kurbana bir PowerShell terminali açması ve bir “düzeltme” komutu yapıştırması talimatını verir. Kullanıcının haberi olmadan, “Nasıl düzeltilir” düğmesine tıklamak, kötü amaçlı bir PowerShell betiğini doğrudan panoya kopyalayan bir JavaScript işlevini tetikler.
Bu teknik, enfeksiyon zincirini başlatmak için kullanıcının kendi eylemlerinden yararlanarak geleneksel tarayıcı tabanlı güvenlik kontrollerini akıllıca atlar.
Point Wild analistleri bu kampanyayı tespit etti ve kullanıcı etkileşimine güvenmenin birçok otomatik tespit sisteminden etkili bir şekilde kaçındığını belirtti.
Kurban komutu yapıştırıp çalıştırdığında, PowerShell betiği uzak sunucudan kötü amaçlı bir HTA dosyasını alır.
.webp)
Bu dosya, son veri yükü için bir hazırlık zemini görevi görür, kalıcılık sağlar ve sistemi, tüm sistemi tehlikeye atabilecek güçlü bir uzaktan erişim truva atı olan DarkGate’in konuşlandırılmasına hazırlar.
Enfeksiyon Zincirinin Teknik Analizi
Bu saldırının teknik yürütülmesi birden fazla gizleme katmanını içerir.
.webp)
İlk web sayfası, bu şekilde görüldüğü gibi, gerçek amacını gizlemek için ters işlev kullanılarak işlenen base64 kodlu içerik içerir. Base64 kodlu veriler, HTML yapısına gömülüdür.
.webp)
Kodu çözüldüğünde veri, DNS’yi temizleyen ve sonraki aşamayı indiren bir PowerShell komutunu içerir.
iex([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64)));Bu komut, güvenliği ihlal edilmiş bir alandan dark.hta’yı getirir. HTA dosyası yürütüldükten sonra C: sürücüsünde bir dizin oluşturur ve bir AutoIt yürütülebilir dosyasını ve fckhffh.a3x adlı bir komut dosyasını bırakır.
.webp)
Bu komut dosyası, son DarkGate yükünün şifresini çözmek için DES algoritmasını kullanır. Kötü amaçlı yazılım daha sonra komuta ve kontrol sunucularıyla iletişim kurarak güvenliği ihlal ediyor ve saldırganlara kurbanın makinesine yetkisiz uzaktan erişim olanağı sağlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
