ESET’ten elde edilen verilere göre, sahte captcha doğrulamaları kullanılarak ilk erişim vektörü olarak ClickFix Sosyal Mühendislik taktiği 2024’ün ikinci yarısı ile bu yılın ilk yarısı arasında% 517 arttı.
ESET’teki tehdit önleme laboratuarları Direktörü Jiří Kropáč, “Tıklama saldırılarının yol açtığı tehditlerin listesi, infostalers, fidye yazılımı, uzaktan erişim truva atları, kriptominerler, kovma sonrası araçlar ve hatta ulus-devlet uyumlu tehdit aktörlerinden gelen özel kötü amaçlı yazılımlar da dahil olmak üzere gün geçtikçe büyüyor.”
ClickFix, kurbanları Windows Run iletişim kutusuna veya Apple MacOS terminal uygulamasına kopyalamak ve yapıştırmak için kurbanları kandırmak için sahte hata mesajları veya captcha doğrulama kontrolleri kullanan yaygın olarak popüler ve aldatıcı bir yöntem haline geldi.
Slovak siber güvenlik şirketi, en yüksek ClickFix algılama hacminin Japonya, Peru, Polonya, İspanya ve Slovakya çevresinde yoğunlaştığını söyledi.
ESET, bu saldırı yönteminin yaygınlığı ve etkinliği, diğer saldırganlara ClickFix silahlı açılış sayfaları sağlayan tehdit aktörlerinin reklam oluşturucularına yol açtığını da sözlerine ekledi.
ClickFix’ten FileFix’e
Geliştirme, güvenlik araştırmacısı MRD0X’in, kullanıcıları Windows Dosya Gezgini’ne bir dosya yolunu kopyalayıp yapıştırarak kandırarak çalışan ClickFix adlı FileFix’e bir kavram kanıtı (POC) alternatifi göstermesiyle geliyor.
Teknik esas olarak, Dosya Explorer’ın işletim sistemi komutlarını adres çubuğu üzerinden bir web tarayıcısının dosya yükleme özelliğiyle yürütme yeteneğini birleştirerek ClickFix ile aynı şeyi sağlamayı içerir.
Araştırmacı tarafından tasarlanan saldırı senaryosunda, bir tehdit oyuncusu, muhtemel hedefe sahte bir captcha kontrolü görüntülemek yerine, bir belgenin onlarla paylaşıldığını ve Ctrl + L’ye basarak adres çubuğundaki dosya yolunu kopyalayıp yapıştırmaları gerektiğini belirten bir mesaj sunan bir kimlik avı sayfası tasarlayabilir.
Kimlik avı sayfası ayrıca, tıkladıktan sonra dosya explorer’ı açan ve kullanıcının panosuna kötü niyetli bir PowerShell komutunu kopyalayan önemli bir “açık dosya gezgini” içerir. Böylece, kurban “dosya yolu” nu yapıştırdığında, bunun yerine saldırganın komutu yürütülür.
Bu da, PowerShell komutunu hazırlamak için kopyalanan dosya yolunu değiştirerek, görünümden gizlemek için boşluk ekleyerek ve sahte dosya yolunu yorum olarak ele almak için bir pound işareti (“#”) ekleyerek elde edilir: “Powershell.exe -c ping örnek.com
MRD0X, “Ayrıca, PowerShell komutumuz komutu gizlemek ve bunun yerine dosya yolunu göstermek için bir yorumdan sonra kukla dosya yolunu birleştirecek.” Dedi.
Kimlik avı kampanyaları bolca
ClickFix kampanyalarındaki artış, aynı zamanda –
- Kullanıcıları kişisel ve finansal bilgilerini toplamak için tasarlanmış sahte sayfalara götürmek için ücretsiz bir ücret olarak maskelenen kimlik avı e -postalarını göndermek için bir .gov etki alanından yararlanın
- Stratejik Etki Alanı Yaşlanması adı verilen bir teknik olan uzun ömürlü alan adlarını (LLDS) kullanın, kullanıcıları özel captcha kontrol sayfalarına yönlendirmek için veya Microsoft hesap kimlik bilgilerini çalmaya yönlendirildiklerini tamamlayarak kullanıcıları özel captcha kontrol sayfalarına yönlendirmek için kullanın
- Remcos Rat’ı dağıtmaktan sorumlu PowerShell kodunu başlatmak için Zip Arşivleri içindeki Kötü niyetli Windows kısayol (LNK) dosyalarını dağıtın
- Kullanıcılara posta kutularının neredeyse dolu olduğu ve mesaja gömülü bir düğmeyi tıklayarak kullanıcıyı e -posta kimlik bilgilerini çalan IPF’lerde barındırılan bir kimlik avı sayfasına götüren bir düğmeyi tıklatarak “depolama alanı” yapmaları gerektiği konusunda uyaran lures kullanın. İlginç bir şekilde, e -postalar ayrıca, çıkarıldıktan ve yürütüldükten sonra Xworm kötü amaçlı yazılımları bırakan bir rar arşiv ekini de içerir.
- Bir PDF belgesine izin veren bir URL ekleyin, bu da, bir Fermuar Arşivi düşüren başka bir URL içeren, otomatik tabanlı bir Lumma Stealer’ı başlatmaktan sorumlu bir yürütülebilir ürün içeren bir URL içerir.
- Kurbanların makineleri üzerinde tam kontrol sahibi olmak için Logmein’in kötü niyetli bir sürümünü yayan sahte sitelere ev sahipliği yapmak için Vercel adlı meşru bir ön uç platformunu silahlandırın
- Ücretsiz ücret ihlalleri hakkında SMS mesajlarını göndermek ve alıcıları kişisel bilgileri ve kredi kartı detaylarını toplayan aldatıcı sitelere yönlendirmek için ABD Motorlu Taşıt Departmanlarını (DMVS) taklit edin
- Kullanıcıları “*.Sharepoint’te barındırılan kimlik bilgisi hasat sayfalarına yönlendirmek için SharePoint temalı e-postaları kullanın[.]com “Sifon kullanıcılarının Microsoft Hesap Şifreleri.
Cyberproof, “SharePoint bağlantıları içeren e -postaların EDR veya antivirüs yazılımı tarafından kötü niyetli veya kimlik avı olarak işaretlenmesi daha az olasıdır. Kullanıcılar, Microsoft bağlantılarının doğal olarak daha güvenli olduğuna inanarak daha az şüpheli olma eğilimindedir.” Dedi.
“Kimlik avı sayfaları SharePoint’te barındırıldığından, genellikle dinamik ve sadece sınırlı bir süre boyunca belirli bir bağlantı aracılığıyla erişilebilirler, bu da otomatik tarayıcılar, tarayıcılar ve kum havuzlarının algılaması için daha da zorlaştırıyor.”