Giderek daha popüler olan ClickFix saldırı yöntemine tehlikeli bir alternatif sunarak, kötü amaçlı komutları yürütmek için Windows Dosya Dosyası Gezgini’nin adres çubuğu işlevselliğini kullanan yeni bir sosyal mühendislik tekniği.
Güvenlik Araştırmacısı Mr.D0X tarafından keşfedilen teknik, Windows Dosyası Gezgini’ni açmak için tarayıcı dosyası yükleme işlevlerini kaldırır ve kullanıcıları geleneksel Windows Run iletişim kutusu yerine adres çubuğu aracılığıyla PowerShell komutlarını yürütmeye çalışır.
Bu yöntem, çalışma diyaloguna dayalı saldırıları tanımaya odaklanan birçok güvenlik bilinci eğitim programını atlatır.
.png
)
ClickFix saldırıları, 2024’ün başlarından beri önemli bir tehdit olarak ortaya çıktı ve siber güvenlik firmaları bu sosyal mühendislik kampanyalarında bir artış olduğunu bildirdi.
Teknik genellikle sahte hata mesajları veya kullanıcılara kötü niyetli komutları Windows Run iletişim kutusuna (Windows Key + R) kopyalayıp yapıştırmalarını öğreten Captcha istemlerini içerir.
Son tehdit istihbarat raporlarına göre, Asyncrat, Darkgate, Lumma Stealer ve Netsupport sıçan dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerinin dağıtılmasında ClickFix kampanyaları gözlendi.
Saldırılar, bireysel siber suçlulardan Rusya bağlantılı APT28 ve İran bağlantılı Muddywater gibi ulus devlet gruplarına kadar çoklu tehdit aktörleri tarafından benimsenmiştir.
FileFix Dosya Gezgini Nasıl Kullanım
Dosya saldırısı yöntemi, meşru dosya paylaşım hizmetlerini taklit eden ikna edici bir kimlik avı web sayfasıyla başlar. Kullanıcılar bir “Dosya Gezgini Aç” düğmesini tıkladığında, JavaScript, tarayıcının dosya yükleme iletişim kutusunu aynı anda tetiklerken, kötü amaçlı bir PowerShell komutunu otomatik olarak panoya kopyalar.
Dosya yükleme işlevi, Windows Dosya Gezgini’nin açılmasına neden olur, bu noktada saldırı, yürütme süreci boyunca kullanıcılara rehberlik etmek için sosyal mühendisliğe dayanır.
Kötü niyetli web sayfası, kullanıcıların CTRL+L kullanarak dosya gezgini adres çubuğuna bir dosya yolu olduğuna inandıkları şeyleri yapıştırmaları için talimatlar sağlıyor, ancak pano aslında gizli bir PowerShell komutu içeriyor.
Saldırının önemli bir yönü, kötü niyetli PowerShell komut dosyasının bir yorum sembolünden sonra sahte bir dosya yolu ile birleştirildiği ve şüphesiz kullanıcılar için meşru görünmesini sağladığı komut gizlemesini içerir. Örneğin: Powershell.exe -c ping example.com # C:\\company\\internal-secure\\filedrive\\HRPolicy.docx
Saldırı, Windows File Explorer’ın komutları doğrudan adres çubuğundan yürütme yeteneğini kullanıyor, bu da birçok kullanıcının farkında olmadığı bir özellik.
Güvenlik araştırmacıları, Dosya Gezgini, Adres Çubuğuna girildiğinde PowerShell, Komut İstemi ve diğer yardımcı programlar dahil olmak üzere çeşitli sistem komutlarını nasıl çalıştırabileceğini belgeledi.
Araştırmacılar ayrıca, yürütülebilir dosyaların indirilmesini ve Dosya Explorer’ın adres çubuğu aracılığıyla yürütülen programların web (MOTW) özniteliğinin kaldırıldığı gerçeğinden yararlanan ikincil bir varyasyon belirlediler. Bu, tehdit algılaması için MOTW’ye dayanan belirli güvenlik kontrollerini potansiyel olarak atlayabilir.
Dosya tekniği, benzer etkinliği korurken geleneksel ClickFix yönteminin ötesine geçerek sosyal mühendislik saldırılarında bir evrimi temsil eder. Saldırı özellikle ilgilidir, çünkü tamamen tarayıcı ortamında çalışır ve meşru pencereler işlevselliğine dayanır.
Siber güvenlik uzmanları, tarayıcılar, özellikle CMD.EXE ve PowerShell.exe ve diğer sistem yardımcı programları tarafından ortaya çıkan şüpheli çocuk süreçlerinin izlenmesini önermektedir. Kuruluşlar ayrıca güvenlik farkındalık eğitimini, geleneksel Run diyalog tekniklerinin yanı sıra dosya kaşif tabanlı saldırı vektörlerini içerecek şekilde güncellemelidir.
Kimlik avı saldırıları, 2024’te genel kimlik avı mesajlarında bildirilen% 202’lik bir artışla gelişmeye devam ettikçe, FileFix’in ortaya çıkışı, tehdit aktörlerinin tekniklerini güvenlik önlemlerini ve kullanıcı farkındalığını nasıl atlamaya nasıl uyarladığını göstermektedir. programlar.
Bu tarayıcı tabanlı saldırıların sadeliği ve etkinliği, insan hedefli sosyal mühendislik kampanyalarına karşı savunmanın devam eden zorluğunu vurgulamaktadır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri