Giriş
Microsoft, son günlerde ortaya çıkan geniş çaplı bir “ClickFix” sosyal mühendislik kampanyasını duyurdu. Bu saldırı, Windows Terminal uygulaması aracılığıyla gerçekleştirilen karmaşık bir saldırı zincirini aktive ederek Lumma Stealer kötü amaçlı yazılımını dağıtıyor.
Saldırı Nasıl Çalışıyor?
2026 Şubat ayında gözlemlenen bu kampanya, kullanıcıları Windows Run dialogunu kullanmak yerine, doğrudan Windows Terminal (wt.exe) uygulamasını başlatmaya yönlendiriyor. Microsoft Tehdit İstihbarat ekibi, “Bu kampanya, hedeflerin Windows + X → I kısayolunu kullanarak Windows Terminal’i açmalarını sağlar ve böylece kullanıcıları meşru yönetim iş akışlarına entegre edilmiş ayrıcalıklı bir komut yürütme ortamına yönlendirir” ifadesinde bulundu.
Yeni varyant, Run dialogu kötüye kullanımını tespit etmekte tasarlanmış önlemleri aşma yeteneği ile dikkat çekiyor. Kullanıcıları sahte CAPTCHA sayfaları, sorun giderme istemleri veya diğer doğrulama benzeri tuzaklarla yanıltarak kötü amaçlı komutlar çalıştırmaya ikna ediyor.
Etkilenen Sistemler
Kampanya, çeşitli Windows sürümlerinde etkili olabilen şu teknikleri içeriyor:
- CVE-XXXX-XXXX: Sahte komutların yürütülmesiyle başlayarak kullanıcıyı etkileyen tüm zararlara yol açıyor.
- Windows Terminal (wt.exe): Kötü niyetli komutlar için meşru bir yüz sağlıyor.
- Lumma Stealer: Yüksek değerli tarayıcı verilerini hedef alıyor.
Çözüm ve Korunma
Saldırı zinciri, aşağıdaki adımlarla devam ediyor:
- Daha fazla yükleme alımı
- Scheduled tasks aracılığıyla kalıcılığın sağlanması
- Microsoft Defender hariç tutmalarının yapılandırılması
- Makine ve ağ verilerinin dışa aktarılması
- Lumma Stealer’ın, “chrome.exe” ve “msedge.exe” süreçlerine kötü amaçlı yazılım enjekte ederek dağıtılması
Windows ayrıca, sıkıştırılmış komut Windows Terminal’e yapıştırıldığında, “AppDataLocal” klasörüne rastgele adlandırılmış bir komut dosyası indiren ikinci bir saldırı yolu tespit etti. Bu komut dosyası, “cmd.exe” aracılığıyla %TEMP% klasörüne Visual Basic Script yazıyor ve “launched” komut satırı argümanıyla çalıştırılıyor. Aynı komut dosyası, MSBuild.exe ile yeniden çalıştırılarak LOLBin kötüye kullanımı sağlanıyor.
Aksiyon
Kullanıcılar, Microsoft’un önerilerine uygun olarak hemen aşağıdaki önlemleri almalıdır:
- İlgili yazılımları güncelleyin.
- Güvenlik duvarınızı ve antivirüs yazılımlarınızı güncel tutun.
- Güvenilmeyen kaynaklardan gelen toplu indirmeleri engelleyin.
Son olarak, sistem görevlilerinin kullanıcı eğitimleri verilmesi ve sosyal mühendislik saldırıları konusunda farkındalık oluşturması kritik önem taşımaktadır.
