JackFix Kampanyası: Tehdit ve Taktikler
Son zamanlarda siber güvenlik araştırmacıları, kullanıcılara “kritik” bir Windows güvenlik güncellemesi gibi görünen sahte pencereler aracılığıyla zararlı komutlar çalıştırmaları için kandıran yeni bir kampanya olan JackFix’i ortaya çıkardı. Bu kampanya, özellikle sahte yetişkin siteleri ile birleşerek kullanıcıların dikkatini çekiyor.
Sahte Yetişkin Siteleri ile Phishing
Cybersecurity firması Acronis’e göre, bu kampanya xHamster ve PornHub gibi sahte yetişkin sitelerini kullanarak kullanıcıları yanıltıyor. Bu sahte sitelere giriş yapan kullanıcılar, aniden ortaya çıkan “acil güvenlik güncellemesi” uyarıları ile karşılaşıyorlar. Bu durum, hedeflerin psikolojik baskı altına girmesine neden oluyor ve onları sahte güncellemeleri kabul etmeye daha yatkın hale getiriyor.
ClickFix adı verilen bu tür saldırılar, son bir yılda büyük bir artış gösterdi. Microsoft verilerine göre, ClickFix, siber saldırıların %47’sinin başlangıç noktası haline geldi. Kullanıcıları teknik çözümler veya CAPTCHA onayları ile kandırarak zararlı komutları çalıştırmaları sağlanıyor.
JackFix’in Taktikleri
JackFix kampanyası, oldukça inandırıcı sahte Windows güncelleme ekranları gösteriyor. Bu uyarılar, tüm ekranı ele geçirerek kullanıcıların Windows Çalıştır penceresini açıp bazı kısayolları tuşlamaları için talimat veriyor. Bu durum, enfeksiyon dizisini başlatıyor ve kullanıcıları zararlı yazılımların hedefi haline getiriyor.
Hackers, ilk başta sahte yetişkin sitelerine yönlendirilen kullanıcıları hedef alarak onları bir “acil güvenlik güncellemesi” ile kandırıyor. Belirli iterasyonlar, Rus geliştiricilere ait yorumlar içeriyor, bu da potansiyel Rusça konuşan tehdit aktörlerinin varlığına işaret etmektedir.
Zararlı Yazılımın Yapısı
Bu kampanya, HTML ve JavaScript kullanarak oluşturulmuş bir Windows Update ekranı gösteriyor. Kullanıcı bir öğeye tıkladığında, gerçekçi bir güncelleme penceresi de ekranı kaplıyor. Ayrıca, kullanıcıların çıkış yapmasını engellemek için çeşitli kısayol tuşlarını devre dışı bırakıyorlar.
MSHTA Kullanımı ve Yükleme Süreci
İlk adım, kullanıcı etkileşime girdiğinde başlatılan bir MSHTA yüklemesidir. Bu süreçte zararlı JavaScript, uzaktan bir PowerShell scripti indirme görevini üstleniyor. Kullanıcı bu aşamada dikkat etmezse, zararlı yazılım, sistemde çeşitli yükler oluşturuyor.
Örneğin, PowerShell kodları, uzaktan bir sunucudan gelen zararlı yazılımı indirmek için genişletilmiş komutlar içeriyor. Bu yüklerin çoğu, şifre çalma gibi amaçlarla oluşturulmuş ve kullanıcıların özel bilgilerini hedef alıyor.
Kullanıcıların Korunması İçin Öneriler
Bu tür saldırılardan korunmak için kullanıcıların dikkatli olması ve şüpheli kaynaklardan gelen uyarıları dikkate alması önemlidir. Çalışanlar, bu tür tehditleri daha iyi tanımak için eğitim almalı ve Windows Çalıştır penceresinin kullanımını sınırlamak için önlemler alınmalıdır.
Sonuç olarak, JackFix kampanyası, modern siber tehditlerin ne kadar karmaşık ve tehlikeli hale geldiğini göstermektedir. Kullanıcıların bu tür tehditleri tanıma ve önleme konusunda daha dikkatli olmaları gerekmektedir.
