Siber Güvenlik

Acil: Microsoft ClickFix Kampanyası ile Lumma Stealer’ı Tehdit Ediyor

teknomers
teknomers

Giriş

Microsoft, son günlerde ortaya çıkan geniş çaplı bir “ClickFix” sosyal mühendislik kampanyasını duyurdu. Bu saldırı, Windows Terminal uygulaması aracılığıyla gerçekleştirilen karmaşık bir saldırı zincirini aktive ederek Lumma Stealer kötü amaçlı yazılımını dağıtıyor.

Contents

Saldırı Nasıl Çalışıyor?

2026 Şubat ayında gözlemlenen bu kampanya, kullanıcıları Windows Run dialogunu kullanmak yerine, doğrudan Windows Terminal (wt.exe) uygulamasını başlatmaya yönlendiriyor. Microsoft Tehdit İstihbarat ekibi, “Bu kampanya, hedeflerin Windows + X → I kısayolunu kullanarak Windows Terminal’i açmalarını sağlar ve böylece kullanıcıları meşru yönetim iş akışlarına entegre edilmiş ayrıcalıklı bir komut yürütme ortamına yönlendirir” ifadesinde bulundu.

Yeni varyant, Run dialogu kötüye kullanımını tespit etmekte tasarlanmış önlemleri aşma yeteneği ile dikkat çekiyor. Kullanıcıları sahte CAPTCHA sayfaları, sorun giderme istemleri veya diğer doğrulama benzeri tuzaklarla yanıltarak kötü amaçlı komutlar çalıştırmaya ikna ediyor.

Etkilenen Sistemler

Kampanya, çeşitli Windows sürümlerinde etkili olabilen şu teknikleri içeriyor:

  • CVE-XXXX-XXXX: Sahte komutların yürütülmesiyle başlayarak kullanıcıyı etkileyen tüm zararlara yol açıyor.
  • Windows Terminal (wt.exe): Kötü niyetli komutlar için meşru bir yüz sağlıyor.
  • Lumma Stealer: Yüksek değerli tarayıcı verilerini hedef alıyor.

Çözüm ve Korunma

Saldırı zinciri, aşağıdaki adımlarla devam ediyor:

  • Daha fazla yükleme alımı
  • Scheduled tasks aracılığıyla kalıcılığın sağlanması
  • Microsoft Defender hariç tutmalarının yapılandırılması
  • Makine ve ağ verilerinin dışa aktarılması
  • Lumma Stealer’ın, “chrome.exe” ve “msedge.exe” süreçlerine kötü amaçlı yazılım enjekte ederek dağıtılması

Windows ayrıca, sıkıştırılmış komut Windows Terminal’e yapıştırıldığında, “AppDataLocal” klasörüne rastgele adlandırılmış bir komut dosyası indiren ikinci bir saldırı yolu tespit etti. Bu komut dosyası, “cmd.exe” aracılığıyla %TEMP% klasörüne Visual Basic Script yazıyor ve “launched” komut satırı argümanıyla çalıştırılıyor. Aynı komut dosyası, MSBuild.exe ile yeniden çalıştırılarak LOLBin kötüye kullanımı sağlanıyor.

Aksiyon

Kullanıcılar, Microsoft’un önerilerine uygun olarak hemen aşağıdaki önlemleri almalıdır:

  • İlgili yazılımları güncelleyin.
  • Güvenlik duvarınızı ve antivirüs yazılımlarınızı güncel tutun.
  • Güvenilmeyen kaynaklardan gelen toplu indirmeleri engelleyin.

Son olarak, sistem görevlilerinin kullanıcı eğitimleri verilmesi ve sosyal mühendislik saldırıları konusunda farkındalık oluşturması kritik önem taşımaktadır.

Apple hisseleri, güçlü sonuçlar, metaverse tease konusunda teknik bozulmaya devam ediyor
AMD, çeşitli CPU’ları etkileyen yeni güvenlik açıkları konusunda uyardı.
Apple CarPlay ile ChatGPT Kullanma İmkanı Sunabilir mi?
Microsoft 365 kesintileri Office, Teams ve daha fazlasını etkiler
Microsoft, OpenAI’yi ikiye katlarken etik bir AI ekibini işten çıkarıyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Sahte Laravel Paketleri .env Dosyanızı Hedef Alıyor: Composer Bağımlılıklarını Nasıl Denetlersiniz
Sonraki Makale Kötü Oyunları Üst Düzey Deneyimle Birlikte Alın

Sanal Medya

Son Eklenenler

Outlook’un yıllardır güvenlik açığı, Fedora ve Dovecot güncellemesiyle ortaya çıktı
Donanım
Yaz Geliştirici Festivali 2026: Tüm Yenilikler Ortaya Çıkıyor
Oyun
Madonna’nın Grindr’daki Cesur ve Heyecan Verici Ticareti
Genel
Meta’nın AI Sunucuları İçin Tüm ABD’ye Çadırlar Kurması
Donanım
Grand Theft Auto VI Oyun Dünyasında Tarihleri Değiştiriyor
Liste
Microsoft’un Mojo’su Geri Mi Gidiyor? AI ve Yenilikler Ne Diyor?
Genel