ClickFix Saldırılarının Yeni Hedefi: Linux Sistemler
Son dönemde teknoloji dünyasında önemli bir tehdit ortaya çıkmıştır. ClickFix adı verilen yeni bir kampanya, hem Windows hem de Linux sistemlerine saldırarak, kullanıcıların bilgisayarlarına zararlı yazılımlar yüklemeyi hedefliyor. Bu kampanya, ziyaretçileri yanıltarak, zararlı komutları çalıştırmaları için kandıran bir sosyal mühendislik tekniği kullanmaktadır.
ClickFix Nedir?
ClickFix, kullanıcıları yanıltmak için sahte doğrulama sistemleri veya uygulama hataları kullanarak çalışan bir sosyal mühendislik taktiğidir. Bu saldırılar, genellikle Windows sistemlerini hedef alıyor ve kullanıcıların PowerShell betiklerini çalıştırmalarına neden olarak bilgi hırsızlığına veya fidye yazılımı saldırılarına yol açıyor. Ancak, 2024’teki bir kampanya, sahte Google Meet hataları ile macOS kullanıcılarını da hedef aldı.
Linux Kullanıcılarını Hedef Alan ClickFix
Hunt.io araştırmacıları tarafından tespit edilen en son kampanya, bu sosyal mühendislik tekniğinin Linux sistemlerine nasıl uyarlanabileceğinin örneğini sunmaktadır. Bu saldırı, Pakistan ile bağlantılı bir tehdit grubu olan APT36 (diğer adıyla "Şeffaf Kabile") tarafından gerçekleştirilmiştir. Saldırı, Hindistan Savunma Bakanlığı’nı taklit eden bir web sitesi aracılığıyla yayılmaktadır ve burada sahte bir basın bülteni bağlantısı sunulmaktadır.
Malicious Web Sitesi
Ziyaretçiler bu web sitesi bağlantısına tıkladıklarında, platform tarafından işletim sistemleri belirlenir ve kullanıcılar uygun saldırı akışına yönlendirilir. Windows kullanıcıları, tam ekran bir sayfa ile sınırlı içerik kullanım hakları uyarısı alır. Kullanıcı ‘Devam et’ butonuna tıkladığında, JavaScript çalışarak, kötü amaçlı bir MSHTA komutunu kullanıcının panosuna kopyalar. Kullanıcıya, bu komutu Windows terminaline yapıştırmaları ve çalıştırmaları talimatı verilir.
Windows Kullanıcıları için Talimatlar
Bu durum, kullanıcıların bir .NET tabanlı yükleyici çalıştırmasına neden olur ve kullanıcı, her şeyin normal görünebilmesi için sahte bir PDF dosyası ile karşılaşır.
Linux Kullanıcıları için Saldırı Akışı
Linux kullanıcıları ise farklı bir senaryo ile karşılaşır. Ziyaretçiler, "Ben robot değilim" butonuna tıkladıklarında bir CAPTCHA sayfasına yönlendirilirler. Bu sırada, kullanıcıların panosuna bir kabuk komutu kopyalanır. Kullanıcı, Linux çalıştırma diyalog kutusunu açmak için ALT+F2 tuşlarına basmaları, komutu yapıştırmaları ve ardından çalıştırmaları için yönlendirilir.
Linux İçin Zararlı Komut
Kopyalanan komut, hedef sistemde ‘mapeal.sh’ yükünü bırakmaktadır. Hunt.io’ya göre, bu komut mevcut versiyonunda zararlı bir faaliyet yürütmemekte ve sadece saldırganın sunucusundan bir JPEG resmi çekmektedir.
Yüksek Risk: Komutları Kopyalayarak Çalıştırmak
Hunt.io’nun açıklamalarına göre, "Betik, aynı trade4wealth[.]in klasöründen bir JPEG resmini indirip, arka planda açmaktadır." Mevcut yürütme sırasında ek faaliyetler, örneğin kalıcılık mekanizmaları veya dış iletişim gözlemlenmemiştir.
Ancak, APT36’nın şu anda Linux enfeksiyon zincirinin etkinliğini belirlemek için denemeler yapıyor olabileceği mümkündür. Görselin yerini bir kabuk betiğiyle değiştirerek zararlı yazılım yükleme veya başka kötü amaçlı faaliyetler gerçekleştirebilirler.
Çeşitlilik ve Tehditlerin Yayılması
ClickFix’in Linux sistemler üzerinde gerçekleştirdiği saldırılar, bu tekniğin ne kadar çeşitli ve etkin bir şekilde kullanılabileceğini göstermektedir. Artık saldırı türü, üç büyük masaüstü işletim sistemi üzerinde de etkisini göstermekte. Kullanıcıların, çalıştırılacak komutları tam olarak anlamadan Run diyaloglarına hiçbir komutu kopyalayıp yapıştırmamaları gerektiği genel bir politika olmalıdır. Bu davranış, zararlı yazılım enfeksiyonları ve hassas verilerin çalınma riskini artırmaktadır.
Sonuç
Kullanıcıların sadece işletim sistemleri değil, aynı zamanda kendi bilgisayar güvenlikleri konusunda da dikkatli olmaları önemlidir. ClickFix gibi gelişmiş sosyal mühendislik saldırıları, her geçen gün daha da yaygın hale gelmekte ve bu tehditlere karşı bilinçli bir yaklaşım şarttır. Kullanıcıların dikkatli davranmaları, zararlı yazılımlar ve diğer tehditlerden korunmaları adına hayati öneme sahiptir.
