Giriş
Son zamanlarda siber suçlular, kullanıcıları meşru komut satırı araçlarını kurma bahanesiyle kötü niyetli komutlar çalıştırmaya ikna eden yeni bir sosyal mühendislik tekniği olan InstallFix’i kullanmaya başladılar. Bu tehdit, artık daha fazla teknik bilgiye sahip olmayan kullanıcıların geliştirme araçlarıyla çalışmaya başlaması nedeniyle önemli bir risk oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
InstallFix yöntemi, geliştiricilerin sıklıkla kullandığı ‘curl-to-bash’ komutları aracılığıyla çevrimiçi kaynaklardan betik indirme ve yürütme alışkanlıklarını istismar etmektedir. Araştırmacılar, tehdit aktörlerinin popüler CLI araçları için klonlanmış sayfalar aracılığıyla kötü niyetli kurulum komutları sunduklarını tespit etti.
Push Security araştırmaları, Claude Code, Anthropic’in CLI kodlama asistanı için klonlanmış bir kurulum sayfasını gün yüzüne çıkarttı. Bu sahte sayfanın gerçek kaynakla aynı yerleşime, markaya ve dokümantasyona sahip olduğu fark edilirken, kurulum talimatlarının yalnızca macOS ve Windows için değiştiği, bu talimatların kötü amaçlı yazılım içeren bir saldırgan kontrolündeki uç noktaya yöneldiği belirlendi.
Etkilenen Sistemler
Yapılan analizler, InstallFix saldırıları sırasında dağıtılan kötü amaçlı yazılımın Amatera Stealer olduğunu göstermektedir. Bu yazılım, ele geçirilen sistemlerden hassas verileri (şifreler, kripto para cüzdanları) çalmayı hedeflemektedir.
Kötü niyetli InstallFix komutları, macOS için saldırganın kontrolündeki bir alan adından bir ikili dosya indirmek ve yürütmek için base64 ile kodlanmış talimatlar içermektedir. Windows kullanıcıları içinse, kötü amaçlı komut, meşru bir yardımcı program olan mshta.exe’yi kullanarak kötü amaçlı yazılımı alır ve conhost.exe gibi ek süreçleri tetikler. Bu süreçler, Amatera bilgi çalan yazılımının yürütülmesini destekler.
Çözüm ve Korunma
Kullanıcıların kurulum talimatlarını yalnızca resmi web sitelerinden alması, tüm tanıtılan Google Arama sonuçlarını engellemesi veya atlaması ve sık sık yeniden indirilecek yazılımlar için indirme portallarını yer imlerine eklemesi önerilmektedir. Arron Emter tarafından sağlanan tehdit indikatörleri, klonlanmış rehberlerin sunulduğu, kötü niyetli yüklerin barındırıldığı alan adlarını ve InstallFix komutlarını içermektedir.
Sonuç
Kullanıcıların dikkatli olması ve güvensiz kaynaklardan yazılım indirmemeleri kritik önemdedir. Sistemlerini güncel tutmalı ve bilinmeyen kaynaklardan gelen talimatlara itibar etmemelidirler. Ek olarak, tarayıcı güvenlik araçlarını kullanarak dikkatli olmalı ve şüpheli alan adlarını engellemelidirler. Kişisel bilgilerinizi korumak için bu önlemler şarttır.
