Hackerlar, ‘ClickFix’ Dolandırıcılıklarını Kötü Amaçlı Yazılım Yaymak İçin Kullanıyor

Hackerlar, “ClickFix” sosyal mühendisliğini kullanarak, kullanıcıları sahte hatalarla veya CAPTCHA ile kandırıp PowerShell’i çalıştırıyorlar ve 2024’ten bu yana küresel olarak zararlı yazılım yayıyorlar.

Siber suçlular, giderek artan bir şekilde, bireylerin kendi başlarına sorunları çözme içgüdülerini hedef alarak zararlı yazılım dağıtmak için “ClickFix” adlı sinsi bir sosyal mühendislik taktiği kullanıyorlar.

Proofpoint’un araştırması Pazartesi günü bu yöntemin kullanımının arttığını ortaya koydu. Bu yöntem, Mart 2024’ten bu yana birçok kampanyada gözlemlenmiştir.

“ClickFix” tekniği, pop-up diyalog kutuları aracılığıyla gösterilen sahte hata mesajlarına dayanır. Bu mesajlar meşru görünür ve kullanıcılara iddia edilen bir sorunu kendilerinin çözmeleri için yönlendirme yapar, diye açıklıyor Proofpoint.

Çoğunlukla, talimatlar kullanıcılara, Windows sistemlerinde komutları çalıştırmak için kullanılan bir araç olan bilgisayarlarının PowerShell terminaline verilen bir scripti kopyalayıp yapıştırmalarını söyler. Kullanıcının bilgisi dışında, bu eylem kötü amaçlı yazılımı indirir ve çalıştırır.

Proofpoint, bu yaklaşımın phishing e-postalarında, kötü amaçlı URL’lerde ve tehlikeye atılmış web sitelerinde kullanıldığını görmüştür.

Tehdit unsurları, dolandırıcılıklarını Microsoft Word, Google Chrome gibi güvenilir kaynaklardan gelen bildirimler veya lojistik veya taşımacılık gibi belirli sektörlere özel yerel hizmetler şeklinde gizlerler.

ClickFix’in özellikle sinsi bir varyasyonu, kullanıcıların “insan olduklarını kanıtlamaları” gereken sahte CAPTCHA meydan okumalarını içerir, diyor Proofpoint.

CAPTCHA hilesi, AsyncRAT, DarkGate veya Lumma Stealer gibi kötü amaçlı yazılımları yüklemek için kötü niyetli komutları çalıştırmak üzere talimatlarla eşleştirilmiştir. Özellikle, bu sahte CAPTCHA taktiği için bir araç seti GitHub’da ortaya çıktı, bu da suçluların kullanmasını kolaylaştırdı.

Proofpoint’a göre, hackerlar küresel olarak çeşitli kuruluşları hedef aldı, bunlar arasında Ukrayna’daki hükümet kuruluşları da bulunuyor. Bir durumda, GitHub’ı taklit ettiler, kullanıcıları kötü amaçlı web sitelerine yönlendirmek için sahte güvenlik uyarıları kullandılar.

Bu dolandırıcılıklar, 300’den fazla organizasyonda zararlı yazılım enfeksiyonlarına yol açmıştır.

ClickFix’i bu kadar etkili yapan, birçok güvenlik önlemini atlatma yeteneğidir. Kullanıcılar, kötü amaçlı komutları gönüllü olarak çalıştırdığından, geleneksel e-posta filtreleri ve anti-virüs araçları, aktiviteyi bayraklama olasılığı daha düşüktür, diyor Proofpoint.

Proofpoint, bu taktiğin daha geniş bir trendin parçası olduğunu vurgular: Sadece teknik zafiyetleri kullanmak yerine insan davranışını manipüle etmek. Hackerlar, kullanıcıların sorunları bağımsız bir şekilde çözme istekliliğine güvenir, bu süreçte genellikle IT ekiplerini atlarlar.

Bu tehdidi karşılamak için, organizasyonlar çalışanları ClickFix dolandırıcılıkları hakkında eğitmeli ve istenmeyen sorun giderme talimatlarına karşı şüphecilik önemini pekiştirmelidir.

Dikkatli olmak ve şüpheli e-postaları ya da pop-up’ları bildirmek, bu zekice saldırılara kurban gitmeyi önleyebilir.