ClickFix Taktiklerinin Tehlikesi
Microsoft, yeni bir ClickFix sosyal mühendislik taktiği hakkında ayrıntılar açıkladı. Bu saldırı, kullanıcıların sistemlerinde komut çalıştırarak kötü niyetli yazılım almak için DNS sorgulaması yapmalarını sağlamayı amaçlıyor.
Saldırı Nasıl Çalışıyor?
Saldırı, kullanıcıları Windows’ un çalıştırma iletişim kutusunda tetiklenen bir DNS sorgusu çalıştırmaya ikna etmek için “nslookup” komutunu kullanıyor. Bu komut, bir dış DNS sunucusu üzerinden bilgileri almak için kullanılıyor. Yüksek etkili bir tuzak olarak ClickFix, genellikle aşağıdaki yöntemlerle dağıtılıyor:
- Phishing (oltalama) emailleri
- Malvertising (kötü amaçlı reklamlar)
- Drive-by download (indirmenin sağlanması)
Etkilenen Sistemler
Bu saldırılar, hedeflerin yanlış yönlendirildiği sahte CAPTCHA doğrulama sayfaları veya Windows’un çalıştırma penceresinya gibi sahte sorunları çözme talimatları ile doludur. Bu tür taktikler, kullanıcıların kendi makinelerine kötü amaçlı yazılım yüklemelerine yol açıyor. ClickFix’in birçok varyasyonu, örneğin FileFix, JackFix, ConsentFix, CrashFix ve GlitchFix gibi isimlerle ortaya çıktı.
Microsoft’un Tehdit İstihbarat ekibinin bildirdiğine göre, ClickFix’in bu yeni versiyonu, kullanıcıların kendi sistemlerini etkileyebilen bir aşama yüklemesine zemin hazırlıyor.
Payload İndirme Mekanizması
İlk aşama komutu, cmd.exe üzerinden çalışıyor ve bir dış DNS sunucusunda sorgulama yapıyor. Alınan yanıt, ikinci aşama yüklemesi olarak çalıştırılıyor. Bu süreç, kötü amaçlı Python scriptlerinin ve Visual Basic Script (VBScript) dosyalarının indirilmesine ve çalıştırılmasına yol açıyor.
- Kötü amaçlı Python scripti, keşif ve keşif komutlarını çalıştırıyor
- VBScript, ModeloRAT adlı bir Python tabanlı uzak erişim truva atını başlatıyor
Çözüm ve Korunma
Kullanıcıların bu tür tehditlere maruz kalmamaları için aşağıdaki adımlar atılmalıdır:
- Windows ve diğer yazılımları güncel tutun: En son güvenlik güncellemelerini yükleyin.
- Sosyal mühendislik saldırılarına karşı dikkatli olun: Tanımadığınız kaynaklardan gelen bağlantılara tıklamayın.
- Güvenlik yazılımlarını kullanın ve düzenli olarak sistem taraması yapın.
- DNS sorgularını filtreleyen bir güvenlik duvarı kullanın: Bu, zararlı ağ trafiğini engelleyebilir.
Kullanıcıların bu tehditleri bertaraf edebilmeleri için, yazılımlarını ve güvenlik önlemlerini sürekli güncel tutmaları son derece önemlidir. Kötü amaçlı yazılımlara maruz kalmamızın önüne geçmek için sistemlerimiz üzerinde ekstra dikkat göstermeliyiz.
