Tehdit Aktiviteleri ve Yeni Saldırı Yöntemleri
Huntress analistleri son on beş iş günü içinde belirli tehdit aktivitelerinde gözle görülür bir artış meydana geldiğini tespit etti. Bu durum, kötü niyetli yazılımların evrimini ve saldırganların teknik becerilerinin gelişimini ortaya koyuyor. Özellikle MetaStealer kötü amaçlı yazılımının kullanımı dikkat çekiyor. Bu yazılım, kullanıcıların bilgisayarında gizlice bilgi çalabilmek için kullanılan etkili bir bilgi avcısıdır.
Kötü Amaçlı AnyDesk Yükleyici
Bir örnek olay, bir AnyDesk yükleyicisinin kötü amaçlı hale getirilmesini içeriyor. Bu yükleyici, başlangıçta standart bir ClickFix saldırısını taklit eden sahte bir Cloudflare doğrulama sayfası ile başlıyor. Ardından, Windows Dosya Gezgini ve bir MSI paketi kullanılarak, kendisini PDF olarak gizleyip MetaStealer yazılımını dağıtmakta. Bu tür saldırılar, sosyal mühendislik yöntemleriyle birleşerek daha karmaşık saldırı zincirleri ve gizlenme stratejileri geliştirmekte.
ClickFix ve FileFix Saldırıları
ClickFix saldırılarının, kullanıcıları bir hatayı “düzeltmeye” ikna eden yaygın bir yöntem olduğunu söyleyebiliriz. Kullanıcılar, phishing (oltalama) mesajları aracılığıyla bir web sayfasına yönlendiriliyor. Sayfadaki CAPTCHA benzeri doğrulamaları geçmek için belirli komutların kopyalanıp yapıştırılması isteniyor.
Son zamanlarda bu yöntemin bir varyasyonu olan FileFix tekniği de gelişti. Bu yöntem, Windows’da Çalıştır penceresi yerine Dosya Gezgini aracılığıyla kötü amaçlı komutların çalıştırılmasını sağlıyor. Örneğin, elde ettiğimiz veriler doğrultusunda bir kullanıcı, sahte bir Cloudflare Turnstile aracılığıyla verilen kötü niyetli bir komutun çalıştırılması sonucunda bir bilgi çalıcı yazılım ile karşılaşmış.
Sahte AnyDesk Yükleyicisi ve Ülke Tespiti
Fake AnyDesk yükleyicisi, kullanıcıları sahte bir Cloudflare doğrulama sayfasına yönlendiriyor. Burada “insan olduğunuza dair doğrulama” talep ediliyor. Kullanıcı bu sayfayı ziyaret ettiğinde, gerçek niyetlerinin ne olduğunu anlayamayabiliyor.
Saldırı sonucunda, kullanıcının bilgisayarının adı (hostname) kötü niyetli yazılım tarafından ele geçiriliyor. Bu sitenin kodunu analiz eden uzmanlar, JavaScript ile şifrelenmiş bilgilere ulaşarak, kullanıcıların gerçek etkileşimlerinin nasıl yönlendirildiğini keşfettiler.
Kötü Amaçlı Yazılım Dağıtımı
Saldırının aşamalarında, sahte PDF dosyası olarak gizlenmiş bir LNK dosyası kullanılarak kullanıcılara tuzak kuruldu. Bu dosyaya tıklandığında, kullanıcının cihazında cmd.exe çalıştırılıyor ve kullanıcıdan şüphelenmemesi için meşru bir AnyDesk yükleyicisi indiriliyor. Aynı zamanda, sahte PDF dosyası MSI paketi olarak kullanıcının sistemine sızıyor. Bu, bilgi çalıcı MetaStealer‘ın yüklenmesine neden oluyor.
ClickFix Varyasyonları ve Alınacak Önlemler
ClickFix ve benzeri saldırılar, sosyal mühendislik yöntemleriyle başarılı bir şekilde gerçekleştirilmekte. Kullanıcılar, günlük rutinlerinde sıkça kullandıkları işlemler sırasında kandırılabilmektedirler. Bu sebeple, kullanıcıların bu tür saldırılara karşı eğitilmeleri büyük önem taşıyor. Örgütler, çalışanlarını sahte CAPTCHA‘ları ve diğer sosyal mühendislik teknikleri konusunda bilgilendirmelidir.
Öneriler
- Windows Çalıştır Penceresi Kısıtlanmalı: Günlük işlemler için gerekli olmayan durumlarda bu pencerelerin kullanımı engellenmelidir.
- Kullanıcı Eğitimi: Ortamda çalışanların, benzeri sahtekarlıklarla karşı karşıya kalmaması adına düzenli eğitim programları uygulanmalıdır.
- Tehdit Zekası Kullanımı: Kuruluşların, güncel tehdit istihbaratına sahip olarak savunmalarını güçlendirmeleri gerekir.
Kesin Önlemler ve Bilgi Güvenliği
Sonuç olarak, kötü niyetli yazılımlar ve onların dağıtım yöntemleri giderek daha karmaşık hale gelmektedir. İşletmelerin ve kullanıcıların bu tehditlere karşı hazırlıklı olmaları, bilgi güvenliğini korumak adına kritik bir öneme sahiptir. Bilgi güvenliği alanında düzenli eğitim, güncel yazılım kullanımı ve kullanıcı farkındalığının artırılması, örgütleri korumak için alınacak en etkili önlemlerdir.
Uzmanlar, bu tür durumlar için özellikle bir mideme sahip olup, kullanıcıları etkileyen en son saldırı tekniklerini bilinçlendirerek, güvenliği artırmak adına birlikte çalışmayı öneriyor.
