Yeni Phishing Saldırıları ve StealC Malware Tehdidi
Son dönemde, siber güvenlik uzmanları, StealC adı verilen bilgi hırsızlığı malware’ını dağıtmak için FileFix sosyal mühendislik taktiğini kullanan yeni bir saldırı kampanyasına dikkat çekmektedir. Bu kampanya, özellikle çok dilli ve ikna edici tasarımlara sahip sahte web siteleri kullanarak kullanıcıları kandırmayı hedefliyor.
FileFix Taktiklerinin Detayları
FileFix, ilk olarak Haziran 2025’te güvenlik araştırmacısı mrd0x tarafından bir kanıt-of-kavram (PoC) olarak belgelenmiştir. Bu yeni saldırı yöntemi, ClickFix yönteminden farklılık göstermektedir. Kullanıcılar, sahte CAPTCHA doğrulama işlemini tamamlamak için Windows çalıştırma penceresini açmak zorunda kalmadan, web tarayıcısının dosya yükleme özelliğini kullanarak aldatılmaktadır. Böylece, kullanıcılar File Explorer’ın adres çubuğuna bir komut yapıştırarak, bu komutun victim makinesinde çalışmasını sağlıyorlar.
Phishing Saldırısının İlk Aşaması
Bu saldırı, kullanıcıları, Facebook hesaplarının askıya alınma tehlikesiyle karşı karşıya olduğu uyarısını içeren bir e-posta mesajına yönlendirerek başlar. Kullanıcılara, paylaşılan gönderi veya mesajların politikaları ihlal ettiği bildirilmektedir. E-postadaki bir butona tıklamaları istendiğinde ise sahte bir phishing sayfasına yönlendirilirler. Bu sayfa, hem karmaşık bir şekilde obfuscate edilmiş (karman çorman hale getirilmiş) hem de analiz çabalarını engellemek için hileli kod ve parçalama teknikleri kullanmaktadır.
FileFix Saldırısının Uygulanışı
Phishing sayfasında tıklanan buton, kurbanlara sahte bir mesaj gösterir ve “belgeyi görmek için belirtilen adresi kopyalayıp dosya gezgininin adres çubuğuna yapıştırın” diyerek yönlendirir. Burada verilen yol tamamen zararsızdır, fakat bu esnada zararlı bir komut kullanıcının panosuna gizlice kopyalanır. Bu komut, birkaç aşamadan oluşan bir PowerShell betiği olarak çalışır ve sonunda StealC’in yüklenmesini sağlayan bir Go tabanlı yükleyici ile sonuçlanır.
Güvenlik Yönetmelikleri ve StealC ‘in Tehditi
FileFix, ClickFix’e göre önemli bir avantaj sunmaktadır. Zira, yaygın olarak kullanılan bir tarayıcı özelliğini istismar eder. Bu durum, sistem yöneticileri tarafından güvenlik önlemi olarak engellenebilir olan bir çalıştırma penceresi açmaya göre daha az görünür bir yöntemdir. Hackerlar, bu yeni taktiği kullanarak kurbanların dikkatini dağıtmakta ve etkili bir şekilde saldırılarını gerçekleştirmektedir.
Acronis, bu saldırının arkasındaki kötü niyetli aktörlerin önemli bir çaba gösterdiğini, phishing altyapısını, payload dağıtımını ve destekleyici elemanları dikkate alarak mühendislik yaptıklarını belirtmiştir.
Diğer Kötü Amaçlı Yazılımlar ve Taktikler
Bunun yanı sıra, Doppel isimli bir siber güvenlik şirketi, sahte destek portalları, Cloudflare CAPTCHA hata sayfaları ve pano hijacking (panonun kontrolünü ele geçirme) kullanarak benzer bir kampanya yürütüldüğünü rapor etmiştir. Bu kötü niyetli yazılımlar, kullanıcıları kötü amaçlı PowerShell kodunu çalıştırmaya yönlendirirken, AnyDesk, TeamViewer gibi yazılımları da içeren ek yükleri sunmaya yönelmektedir.
Ayrıca, başka bir tehdit olarak, kullanıcılara, Google domainine benzeyen bir adres üzerinden MSHTA komutu çalıştırmaları yönlendirilmekte, bu da uzaktan kötü niyetli bir betiğin indirilmesini ve çalıştırılmasını sağlamaktadır.
AHK ve Kötü Amaçlı Saldırılar
AHK (AutoHotkey), bir zamanlar tekrarlayan görevleri otomatikleştirmek için tasarlanmış bir Windows tabanlı komut dosyası dilidir. Üstünlükleri sayesinde, sistem yöneticileri ve gelişmiş kullanıcılar arasında popüler olmuştur. Ancak saldırganlar, 2019 yılından bu yana AHK’yı kötüye kullanmaya başlamış ve hafif malware dağıtıcıları ile bilgi hırsızı olarak tehditler oluşturmuşlardır. Bu kötü niyetli betikler, genellikle zararsız otomasyon araçları veya destek yardımcıları gibi görünen sahte araçlar altında saklanmaktadır.
Sonuç olarak, modern siber tehditler, başta sosyal mühendislik yöntemleri olmak üzere, çeşitli taktik ve stratejiler ile daha karmaşık hale gelmiştir. Kullanıcıların bilgi güvenliğini sağlamak ve bu tür saldırılara karşı korunmak için sürekli dikkatli olmaları gerekmektedir.
