Siber suçlular, bilgi çalan kötü amaçlı yazılımları yaymak için Windows, Spotify ve Netflix gibi popüler yazılımlar için ücretsiz etkinleştirme kılavuzları görünümündeki TikTok videolarını kullanıyor.
ISC Sorumlusu Xavier Mertens, Trend Micro'nun Mayıs ayında gözlemlediği kampanyanın büyük ölçüde aynısı olan devam eden kampanyayı fark etti
BleepingComputer tarafından görülen TikTok videoları, Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro ve Discord Nitro gibi yasal ürünlerin yanı sıra Netflix ve Spotify Premium gibi uydurma hizmetlerin nasıl etkinleştirileceğine ilişkin talimatlar sunuyormuş gibi görünüyor.
Videolar, meşru "düzeltmeler" gibi görünen veya kullanıcıları kötü amaçlı PowerShell komutlarını veya bilgisayarlarına kötü amaçlı yazılım bulaştıran diğer komut dosyalarını çalıştırmaya yönlendiren talimatlar sağlayan bir sosyal mühendislik tekniği olan ClickFix saldırısı gerçekleştiriyor.
Her videoda tek satırlık kısa bir komut görüntülenir ve izleyicilere bu komutu PowerShell'de yönetici olarak çalıştırmaları söylenir:
URL'deki program adının, kimliğine bürünülen programa bağlı olarak farklı olacağına dikkat edilmelidir. Örneğin sahte Windows aktivasyon videolarında photoshop içeren URL yerine windows yer alıyordu.
Bu kampanyada, komut yürütüldüğünde PowerShell, başka bir PowerShell betiğini almak ve yürütmek için uzak site slmgr[.]win'e bağlanır.
Bu komut dosyası, Cloudflare sayfalarından iki yürütülebilir dosya indirir; ilk yürütülebilir dosya https://file-epq[.]pages[.]dev/updater.exe [VirusTotal] adresinden indirilir. Bu yürütülebilir dosya, Aura Stealer bilgi hırsızlığı yapan kötü amaçlı yazılımın bir çeşididir.
Aura Stealer, tarayıcılardan kayıtlı kimlik bilgilerini, kimlik doğrulama çerezlerini, kripto para cüzdanlarını ve diğer uygulamalardaki kimlik bilgilerini toplar ve bunları saldırganlara yükleyerek hesaplarınıza erişmelerini sağlar.
Mertens, .NET'in yerleşik Visual C# Derleyicisini (csc.exe) kullanarak kodu kendi kendine derlemek için kullanılan source.exe [VirusTotal] adlı ek bir veri yükünün indirileceğini söylüyor. Bu kod daha sonra belleğe enjekte edilir ve başlatılır.
Ek yükün amacı belirsizliğini koruyor.
Bu adımları uygulayan kullanıcılar, tüm kimlik bilgilerinin ele geçirildiğini düşünmeli ve ziyaret ettikleri tüm sitelerdeki şifrelerini derhal sıfırlamalıdır.
ClickFix saldırıları geçtiğimiz yıl oldukça popüler hale geldi ve fidye yazılımı ve kripto para hırsızlığı kampanyalarında çeşitli kötü amaçlı yazılım türlerini dağıtmak için kullanıldı.
Genel bir kural olarak, kullanıcılar hiçbir zaman bir web sitesinden metin kopyalamamalı ve bunu Dosya Gezgini adres çubuğu, komut istemi, PowerShell istemleri, macOS terminali ve Linux kabukları dahil olmak üzere bir işletim sistemi iletişim kutusunda çalıştırmamalıdır.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Yeni FileFix saldırısı, StealC kötü amaçlı yazılımını düşürmek için steganografiyi kullanıyor
Sahte Homebrew ve LogMeIn sitelerine yönelik Google reklamları bilgi hırsızlarını harekete geçiriyor
Bilgi hırsızlığından tam RAT'a: PureRAT saldırı zincirinin incelenmesi
Microsoft, Xcode geliştiricilerini hedef alan yeni XCSSET macOS kötü amaçlı yazılım çeşidi konusunda uyardı
TamperedChef bilgi hırsızı sahte PDF Düzenleyici aracılığıyla teslim edildi
Kaynak: Bleeping Computer