Yeraltındaki siber suçlular yeni bir sanayileşme aşamasına girdi. Hudson Rock araştırmacıları, aldatıcı sosyal mühendisliği benzeri görülmemiş bir ölçekte metalaştıran gelişmiş bir Hizmet Olarak ClickFix platformu olan ErrTraffic v2’yi ortaya çıkardı.
Fiyatı yalnızca 800 dolar olan ve üst düzey Rus siber suç forumlarında reklamı yapılan araç, siber suç altyapısının demokratikleştirilmesinde bir dönüm noktasını temsil ediyor.
ClickFix saldırıları, modern güvenlik mimarisindeki kritik bir boşluktan yararlanır: tarayıcı savunmaları ile işletim sistemi yürütme arasındaki kopukluk.
Artık Chrome ve Edge saldırganları tarafından etkili bir şekilde engellenen sessiz indirmeleri denemek yerine, kullanıcılara PowerShell’i veya Windows Çalıştır iletişim kutusunu açmalarını ve bir “doğrulama kodu” yapıştırmalarını söyleyen sahte sistem hataları sunuyorlar.
Yürütüldüğünde bu kod tam kullanıcı ayrıcalıklarıyla çalışır ve çoğu zaman EDR çözümlerini tamamen atlatır. İşin dehası basitliğinde yatıyor: her eylem, bireysel bileşenleri izleyen güvenlik sistemleri için meşru görünüyor.
ErrTraffic bu taktiği anahtar teslim bir operasyona dönüştürüyor. Aracın kontrol paneli, aktif kampanyaların %60’a yaklaşan dönüşüm oranlarıyla çarpıcı verimlilik ölçümlerini ortaya koyuyor.
Büyük Ölçekli ClickFix Kullanımı
Bu olağanüstü rakam, iş başındaki psikolojik manipülasyonun altını çiziyor. Platform bunu “sahte aksaklık” oluşturma, sistem arızalarını simüle etmek için tehlikeye atılmış web sitelerine bozuk metin ve görsel eserler yerleştirme yoluyla başarıyor.
Aralık 2025’in başlarında Hudson Rock analistleri, “LenAI” adı altında faaliyet gösteren bir tehdit aktörünün “ErrTraffic v2.Panel” reklamını yaptığı yeni bir tanıtım başlığını gözlemledi.
Saldırganlar, meşru bir sitenin görsel görünümünü bozarak anında panik yaratır ve “Güncellemeyi Yükle” veya “Yazı Tipini İndir” düğmesinin tek çözüm olarak görünmesini sağlar.
Teknik uygulama aldatıcı derecede basittir. Saldırganlar, karmaşık filtrelemeye ve işletim sistemi parmak izine olanak tanıyan sunucu tarafı PHP mantığını çalıştırırken kötü amaçlı JavaScript yüklemek için güvenliği ihlal edilmiş web sitelerine tek bir HTML satırı enjekte eder.
Gizlilik dikkat çekicidir: Meşru kullanıcılar herhangi bir anormallik görmezken, kurbanlar özelleştirilmiş yükler alırlar. BDT ülkelerine yönelik coğrafi sınırlama yapılandırmaları, sabit kod hariç tutmaları, Rus tehdit aktörlerinin yerel yasa uygulamalarından kaçınmasının ayırt edici özelliğidir.
Platformun asıl tehlikesi trafik dağıtım sistemi rolünde ortaya çıkıyor. ErrTraffic, kurbanın işletim sistemini algılar ve ilgili yükleri iletir: Windows sistemleri, Lumma veya Vidar gibi bilgi hırsızlarını alır; Android cihazlar, tarayıcı güncellemeleri görünümüne bürünmüş bankacılık truva atlarına maruz kalıyor; macOS hedefleri Atomic Stealer çeşitlerini alır.
Saldırgan, psikolojik olarak web sitesini görsel olarak “yok ederek” acil bir sorun yaratır. “Güncellemeyi Yükle” veya “Yazı Tipini İndir” düğmesi tek yaşam çizgisidir.
Ancak ErrTraffic’in etkisi bireysel enfeksiyonların ötesine uzanıyor. Araç, kendi kendini sürdüren kısır bir döngüyü hızlandırır. Bilgi hırsızları yalnızca kullanıcı kimlik bilgilerini ele geçirmekle kalmaz, aynı zamanda kurbanların yönettiği web siteleri için CMS yönetici oturum açma bilgilerini de ele geçirir.
Hız ve Tutarlılık
Çalınan bu kimlik bilgileri, ErrTraffic komut dosyalarını yeni ele geçirilen sitelere enjekte etmek için silah haline getiriliyor ve bu siteler daha sonra yemi ziyaretçilerine dağıtarak döngüyü yeniden başlatıyor.
ErrTraffic bir “Trafik Dağıtım Sistemi”dir (TDS). Saldırganın yüklediği dosyayı kurbanın işletim sistemine göre uyarlanmış olarak teslim eder.
Çalınan kimlik bilgileri sonunda onları fidye yazılımı gruplarına ve ulus devlet aktörlerine satan İlk Erişim Aracılarına ulaşır.
ErrTraffic, %60’a yakın dönüşüm oranlarıyla bu zaman çizelgesini önemli ölçüde haftalardan günlere sıkıştırır. Aracın uygun maliyetli olması ve devreye alınma kolaylığı, acemi siber suçluların artık daha önce karmaşık tehdit aktörlerine ayrılmış ölçeklerde çalışabileceği anlamına geliyor.
Savunmacılar için bunun sonuçları ciddidir. Geleneksel çevre güvenliği, insanların karar alma süreçlerini istismar eden saldırılara karşı yetersiz kalıyor.
Kuruluşların odağını kimlik bilgisi istihbaratına ve hızlı uzlaşma tespitine kaydırması gerekiyor. Güvenliği ihlal edilmiş kimlik akışlarının gerçek zamanlı izlenmesi, davranışsal analizlerle birleştiğinde ortaya çıkan savunma cephesini temsil ediyor.
Tehdit artık koddaki teknik bir güvenlik açığı değil, sistematik olarak geniş ölçekte istismar edilen, insan muhakemesindeki bir güvenlik açığıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.