Siber güvenlik araştırmacıları, STEALC Bilgi Stealer kötü amaçlı yazılımını sunmak için FileFix Sosyal Mühendislik taktikinin bir varyantını kullanan yeni bir kampanya konusunda uyardı.
Acronis güvenlik araştırmacısı Eliad Kimhy, Hacker News ile paylaşılan bir raporda, “Gözlemlenen kampanya, anti-analiz teknikleri ve tespitten kaçınmak için gelişmiş şaşkınlık ile son derece ikna edici, çok dilli bir kimlik avı sitesi (örn. Sahte Facebook güvenlik sayfası) kullanıyor.” Dedi.
Yüksek düzeyde, saldırı zinciri, kullanıcıları bir Bitbucket deposundaki kötü amaçlı bileşenleri içeren görünüşte zararsız görüntüleri indirmeye devam eden bir başlangıç yükünü başlatmaya ikna etmek için dosya kullanımını içerir. Bu, saldırganların tespiti atlamak için meşru bir kaynak kodu barındırma platformuyla ilişkili güveni kötüye kullanmalarını sağlar.
Haziran 2025’te Güvenlik Araştırmacısı MRD0X tarafından bir kavram kanıtı (POC) olarak belgelenen FileFix, ClickFix’ten biraz farklıdır, çünkü kullanıcıların Windows Run iletişim kutusunu başlatma ve bu amaç için kurulum sayfalarında bogus captcha doğrulama kontrollerini tamamlamak için zaten kopyalanmış bir komutu yapıştırma ihtiyacından kaçınır.
Bunun yerine, kullanıcıları Dosya Explorer’ın adres çubuğuna kopyalamaya ve yapıştırmaya yönlendirmek için bir web tarayıcısının dosya yükleme özelliğini kullanır ve kurbanın makinesinde yerel olarak yürütülmesine neden olur.
Saldırı, kurbanın, alıcılarını bir hafta sonra Facebook hesaplarının potansiyel askıya alma konusunda uyaran bir e -posta mesajından yeniden yönlendirildiği bir kimlik avı sitesi ile başlar ve paylaşılan yayınların veya mesajların politikalarını ihlal ettiğini iddia eder. Daha sonra kullanıcılardan bir düğmeye tıklayarak karara itiraz etmeleri istenir.
Kimlik avı sayfası sadece yoğun bir şekilde gizlenmez, aynı zamanda analiz çabalarını engellemek için önemsiz kod ve parçalanma gibi tekniklere de başvurur.
Düğme tıklandıktan sonra dosya saldırısı oynatılır, bu noktada kurban, Dosya Explorer’ın adres çubuğundaki belgeye bir yol kopyalayıp yapıştırarak sözde politika ihlalinin bir PDF sürümüne erişebileceklerini belirten bir mesaj görüntülenir.
Talimatta sağlanan yol tamamen zararsız olsa da, kötü amaçlı bir komut, dosya explorer’ı açmak için sayfadaki düğmeye tıkladıklarında kullanıcının panosuna gizlice kopyalanır. Bu komut, yukarıda belirtilen görüntüyü indiren, onu bir sonraki aşama yüke çözen ve sonuçta STEALC’yi başlatmaktan sorumlu olan Shellcode’u açan GO tabanlı bir yükleyici çalıştıran çok aşamalı bir PowerShell komut dosyasıdır.
FileFix ayrıca, bir sistem yöneticisi tarafından güvenlik ölçüsü olarak engellenebilen çalışma iletişim kutusunu (veya Apple macOS durumunda terminal uygulamasını) açmak yerine yaygın olarak kullanılan bir tarayıcı özelliğini kötüye kullandığı için ClickFix’e göre önemli bir avantaj sunar.
“Öte yandan, ClickFix’i ilk etapta tespit etmek için bu kadar zorlayıcı kılan şeylerden biri, Run iletişim kutusu aracılığıyla veya doğrudan bir terminalden doğmasıdır, oysa dosya ile, yük kurban tarafından kullanılan web tarayıcısı tarafından yürütülür, bu da bir araştırma veya güvenlik ürüne çok fazla göze çarpar.”
Diyerek şöyle devam etti: “Bu saldırının arkasındaki düşman, hem kaçırma hem de etkiyi en üst düzeye çıkarmak için kimlik avı altyapısını, yükü sunumunu ve destek unsurlarını dikkatlice tasarladı.”
Açıklama, Doppel’in sahte destek portalları, Cloudflare captcha hata sayfaları ve panoların bir kombinasyonu kullanılarak gözlemlenen başka bir kampanyayı ayrıntılı olarak anlatıyor – yani, bir Autohotkey (AHK) komut dosyasını indiren ve çalıştıran kötü niyetli PowerShell kodunu çalıştırmaya sosyal olarak mühendislik yapıyor.
Komut dosyası, tehlikeye atılan ana bilgisayarı profillemek ve AnyDesk, TeamViewer, Bilgi Stealers ve Clipper kötü amaçlı yazılım dahil olmak üzere ek yükler sunmak için tasarlanmıştır.
Siber güvenlik şirketi, kurbanların bir Google alanına işaret eden bir MSHTA komutu çalıştırmaları için yönlendirildiği etkinliğin diğer varyantlarını da gözlemlediğini söyledi (“WL.Google-587262[.]com “), daha sonra uzak bir kötü amaçlı komut dosyasını alır ve yürütür.
Doppel güvenlik araştırmacısı Aarsh Jawa, “AHK, başlangıçta tuş vuruşları ve fare tıklamaları gibi tekrarlayan görevleri otomatikleştirmek için tasarlanmış Windows tabanlı komut dosyası dilidir.”
“Sadeliği ve esnekliği nedeniyle güç kullanıcıları ve sistem yöneticileri arasında uzun zamandır popüler olsa da, tehdit aktörleri hafif kötü amaçlı yazılım damlaları ve info-yöneticiler oluşturmak için 2019 civarında AHK’yı silahlandırmaya başladı. Bu kötü niyetli komut dosyaları genellikle iyi huylu otomasyon araçları veya destek yardımcı programları olarak maskelendi.”