ClickFix saldırıları, kurbanlara kendi kendine enfeksiyon süreci boyunca rehberlik eden videolar, hedefleri riskli eylemlerde bulunmaya zorlayan bir zamanlayıcı ve doğru komutları sağlamak için işletim sisteminin otomatik olarak algılanması gibi özellikler içerecek şekilde geliştirildi.
Tipik bir ClickFix saldırısında tehdit aktörü, kullanıcıları kötü amaçlı bir sayfadan kod veya komut yapıştırıp çalıştırmaları için kandırmak amacıyla sosyal mühendisliğe güvenir.
Kullanılan yemler, kimlik doğrulamadan yazılım sorunu çözümlerine kadar değişiklik gösterebilir. Amaç, hedefin, genellikle bilgi çalan bir yük alıp başlatan kötü amaçlı yazılımı çalıştırmasını sağlamaktır.
Çoğu zaman, bu saldırılar bir web sayfasında metin talimatları sağlıyordu ancak daha yeni sürümler, saldırıyı daha az şüpheli hale getirmek için gömülü bir videoya güveniyor.
Push Güvenliği araştırmacıları bu değişikliği, sahte bir Cloudflare CAPTCHA doğrulama saldırısının kurbanın işletim sistemini tespit ettiği ve kötü amaçlı komutların nasıl yapıştırılıp çalıştırılacağına ilişkin bir video eğitimi yüklediği son ClickFix kampanyalarında fark etti.
Tehdit aktörü, bir JavaScript aracılığıyla komutları gizleyebilir ve bunları otomatik olarak kullanıcının panosuna kopyalayabilir, böylece insan hatası olasılığını azaltabilir.
Aynı pencerede, meydan okuma, kurbanı hızlı harekete geçmeye zorlayan ve doğrulama sürecinin gerçekliğini veya güvenliğini doğrulamak için çok az zaman bırakan bir dakikalık geri sayım sayacını içeriyordu.
Aldatmaya ek olarak, pencerenin meşru bir Cloudflare bot kontrol aracının parçası olarak görünmesini sağlayan "son saatte doğrulanan kullanıcılar" sayacı da bulunuyor.
Daha önce macOS ve Linux da dahil olmak üzere tüm önemli işletim sistemlerine yönelik ClickFix saldırılarını görmüş olsak da talimatların otomatik olarak algılanması ve ayarlanması yeni bir gelişmedir.
Push Security, bu daha gelişmiş ClickFix web sayfalarının öncelikle Google Arama'da kötü amaçlı reklamcılık yoluyla tanıtıldığını bildiriyor.
Tehdit aktörleri ya eski WordPress eklentilerindeki bilinen kusurlardan yararlanarak meşru siteleri tehlikeye atıyor ve kötü amaçlı JavaScript'lerini sayfalara enjekte ediyor ya da "titreşim kodu" kullanan siteleri arama sonuçlarında daha üst sıralara çıkarmak için SEO zehirleme taktiklerini kullanıyor.
Bu saldırılarda iletilen verilerle ilgili olarak Push araştırmacıları, bunların işletim sistemine bağlı olduğunu ancak Windows'ta yürütülebilir MSHTA'yı, PowerShell komut dosyalarını ve diğer çeşitli arazide yaşayan ikili dosyaları dahil ettiğini fark etti.
Araştırmacılar gelecekteki ClickFix saldırılarının tamamen tarayıcıda çalışabileceğini ve EDR korumalarından kaçabileceğini tahmin ediyor.
ClickFix geliştikçe ve daha inandırıcı ve yanıltıcı biçimler aldıkça, kullanıcılar, terminalde kod çalıştırmanın hiçbir zaman çevrimiçi tabanlı doğrulama sürecinin bir parçası olamayacağını ve kullanıcı ne yaptığını tam olarak anlamadıkça kopyalanan komutların asla çalıştırılmaması gerektiğini hatırlamalıdır.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Sahte Homebrew ve LogMeIn sitelerine yönelik Google reklamları bilgi hırsızlarını harekete geçiriyor
TikTok videoları bilgi hırsızlarını ClickFix saldırılarına itmeye devam ediyor
Sahte Microsoft Teams yükleyicileri, Oyster kötü amaçlı yazılımını kötü amaçlı reklam yoluyla yayıyor
Microsoft, Xcode geliştiricilerini hedef alan yeni XCSSET macOS kötü amaçlı yazılım çeşidi konusunda uyardı
Yeni FileFix saldırısı, StealC kötü amaçlı yazılımını düşürmek için steganografiyi kullanıyor
Kaynak: Bleeping Computer