ClickFix: Saldırı Tekniği ve Önemi
ClickFix, kullanıcıları zararlı yazılım çalıştırmaya ikna eden yeni bir teknik olarak siber güvenlikte önemli bir tehdit haline gelmiştir. Kullanıcıların dikkatini dağıtarak zararlıları manuel olarak çalıştırmalarını sağlamakta başarılı olan bu yöntem, siber suçluların etkili saldırı aracı olmuştur.
Saldırı Nasıl Çalışıyor?
ClickFix, kullanıcılara sahte bir CAPTCHA veya hata mesajı gösteren tuzak bir sayfa aracılığıyla çalışır. Arka planda gizlenmiş JavaScript, kullanıcının panosuna bir komut ekler ve kullanıcıdan belirli bir tuş kombinasyonuna basarak yapıştırmasını ister. Bu süreçle kullanıcı, zararlı yazılımı kendi isteğiyle çalıştırmış olur. Genellikle ilk aşamada bir istismar bulunmaz ve geleneksel antivirüs yazılımları için tespit edilmesi zor bir durum ortaya çıkar.
ESET’in verilerine göre, bu tekniğin kullanımı 2025’in ilk yarısında %517’lik bir artış göstermiştir. Microsoft’un 2025 Dijital Savunma Raporu’na göre ise, ClickFix %47 oranında ilk erişim vakalarında görülmektedir.
Etkilenen Sistemler
ClickFix, MS Windows ile uyumlu çalışmakta olup, macOS sürümlerini de hedef alarak çok dilli bir platform sunmaktadır. Güvenlik araştırmacısı Bert-Jan Pals, ClickFix platformlarının iç yapısını analiz ederek, yaklaşık 3000 zararlı yükü incelenmiştir. Bu analizde, zararlı yüklerin arka uç sunuculardan kişiye özel olarak gönderildiği ve bu yüklerin her seferinde farklı biçimlerde sunulduğu ortaya konmuştur.
Paketler: İstediğiniz Gibi Üretim
Pals, bu sayfaların komutlarını arka uç sunuculardan temin ettiğini keşfetti. Sunucular, istekleri alır, bir erişim jetonu kontrol eder ve her seferinde taze bir şifrelenmiş komut ile yanıt verir. Örneğin, bir sunucuya 100 zararlı yük istendiğinde, Pals 100 farklı komut elde etmiştir.
Bu komutlar, Base64, AES, TripleDES, Rijndael ve Deflate gibi yöntemlerle sarılmış olup, çıkarıldıklarında tümü aynı script’i çalıştırmaktadır. Pals, zararlı yazılımın temel yükünün, zamanla her kurban için değişeceğini belirtmektedir.
Yeni Yöntem: İndirme Klasörü Yöntemi
ClickFix’in daha yenilikçi bir aşaması, kurbanların panosuna zararlı bir komut yerine, masum bir komut indirmesidir. Sayfa, kullanıcıların indirme klasörüne zararsız görünen bir dosya indirirken, panoya bu dosyayı hareket ettiren bir “orchestrator” komutunu yerleştirir. Bu nüans, Windows’un script tarama özelliklerini atlatmaya yardımcı olur.
Yeni yöntem, kullanıcıları Windows+R tuşlarına yönlendirmek yerine, Windows Terminal’ini kullanmalarını önerir; bu da kötü niyetli işlemlerin izlerini gizlemekte etkilidir.
Çözüm ve Korunma
Savunma stratejileri değişmemiştir, ama gelişim göstermiştir. Koruyucuların dikkat etmesi gereken noktalar şunlardır:
- explorer.exe veya WindowsTerminal.exe tarafından başlatılan powershell.exe, cmd.exe veya msiexec.exe izleme ihtiyacı vardır.
- Davranışsal EDR çözümleri ve uygulama kontrol kuralları ile hangi programların script yorumlayıcıları çağırabileceğinin sınırlandırılması önemlidir.
- Kullanıcılara “Koşma kutusuna veya terminale, size söylenen bir komutu yapıştırmayın,” uyarısı yapılmalıdır.
Bunların yanı sıra, şu sunucular da izlemeye alınmalıdır:
- comicstar[.]lat
- babybon[.]cfd
- merkantalolol[.]asia
Bu kaynaklarla bağlantı kurulması, enfeksiyonu kanıtlamaz; ancak panoya komut yerleştirildiğini göstermektedir.
Sonuç
ClickFix tekniği etkisini sürdürmektedir; dolayısıyla, kullanıcıların özellikle panolarına yerleştirilen komutlara dikkat etmeleri gerekmektedir. Bu tür zararlı yazılımlar, birçok siber suç unsurunun hedefi haline gelmiş olup, içerikler sürekli evrim geçirmektedir. Güncel yazılım güncellemeleri yapmak, gereksiz bağlantıları kapatmak ve bilgilendirici eğitimler sağlamak, kurumsal güvenliğinizi artıracaktır.


