“Dosya Fix” olarak adlandırılan yeni keşfedilen bir istismar, web tarayıcısından ayrılmadan kötü amaçlı komutları yürütmek için Windows Dosya Gezgini’nin yenilikçi kullanımı için siber güvenlik topluluğunda alarmlar yükseltiyor.
Güvenlik araştırmacısı Mr.D0X tarafından geliştirilen FileFix, kötü şöhretli ClickFix Sosyal Mühendislik Saldırısı’nın yaratıcı bir evrimidir ve güvenilir sistem özelliklerinin bile saldırganlar tarafından nasıl silahlandırılabileceğini gösterir.
Dosya Nasıl Çalışır?
Kullanıcıları kopyalanan komutları Windows Run iletişim kutusuna (WIN+R) yapıştırmaya yönlendiren geleneksel ClickFix saldırılarının aksine, FileFix web sitelerinde yaygın olarak bulunan dosya yükleme işlevinden yararlanır.
.png
)
Bir kurban bir kimlik avı sayfasındaki “Dosya Gezgini’ni Aç” veya “Dosya Seç” düğmesini tıklattığında, Windows Dosyası Gezgini iletişim kutusu açılır.
İşte bükülme: Saldırgan kullanıcıya zararsız görünen bir dosya yolunu kopyalamasını ve Dosya Gezgini adres çubuğuna yapıştırmasını söyler.
Kullanıcıya göre, bu yol, adres çubuğundaki bir yorumdan sonra akıllıca gizlenen kötü niyetli bir PowerShell komutunu gizler.
Örneğin, kimlik avı sayfası aşağıdaki gibi talimatları görüntüleyebilir:
Dosyaya erişmek için şu adımları izleyin:
- Aşağıdaki dosya yolunu kopyalayın:
C: \ Company \ Internal-Secure \ Filedrive \ hrpolicy.docx - Dosya Gezgini açın ve adres çubuğunu seçin (Ctrl + L)
- Dosya yolunu yapıştırın ve Enter tuşuna basın
Ancak, aslında panoya kopyalanan şey:
Powershell.exe -c ping example.com # C:\company\internal-secure\filedrive\HRPolicy.docx
Adres çubuğuna yapıştırıldığında ve yürütüldüğünde, Windows PowerShell komutunu çalıştırırken, karma (#) ‘nın kullanıcıdan gerçek niyeti gizledikten sonra kukla dosya yolu.
Konsept Kanıtı Kodu
Aşağıda, Mr.D0X tarafından gösterildiği gibi saldırı sayfası kodunun basitleştirilmiş bir sürümü:
C:\company\internal-secure\filedrive\HRPolicy.docx
Bu komut dosyası, kullanıcının bir dosya yükleyememesini sağlar, bunun yerine tekrar tekrar saldırganın talimatlarını izlemelerini ister.
Dosya Neden Tehlikeli
FileFix özellikle sinsidir, çünkü kullanıcı şüphesini atlamak için tanıdık iş akışlarını – File yüklemeleri ve Windows Dosya Gezgini’nden – kullanır.
Saldırı yüksek ayrıcalıklar veya karmaşık kötü amaçlı yazılım gerektirmez; Basit sosyal mühendisliğe ve kullanıcının standart Windows iletişim kutularına olan güvenine dayanır.
Chrome’un Process Tree, cmd.exe’nin doğrudan tarayıcı oturumundan doğduğunu ve komut yürütmesini onayladığını gösteriyor.
Güvenlik uzmanları, dosya infosterers, fidye yazılımı veya diğer kötü amaçlı yazılımlar sunmak için kullanılabileceği konusunda uyarıyor ve gizli doğası onu hem bireyler hem de kuruluşlar için önemli bir tehdit haline getiriyor.
Nasıl Güvenli Kalınır
- Özellikle tanıdık olmayan kaynaklardan dosya yollarını veya komutlarını kopyalayıp yapıştırma talimatlarına şüpheci olun.
- Tarayıcılar tarafından ortaya çıkan şüpheli çocuk süreçleri (örn., CMD.EXE, PowerShell.exe) için monitör.
- Güvenlik yazılımını güncel tutun ve kullanıcıları yeni sosyal mühendislik taktikleri hakkında eğitin.
Saldırganlar yenilik yapmaya devam ettikçe, uyanıklık ve kullanıcı farkındalığı, dosya gibi istismarlara karşı en iyi savunma olmaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin