Yeni Sosyal Mühendislik Saldırısı: ClickFix
Son dönemde Avrupa’daki konaklama sektörünü hedef alan yeni bir ClickFix sosyal mühendislik kampanyası, sahte Windows Mavi Ekran Hatası (BSOD) görüntüleri kullanarak kullanıcıları kötü niyetli yazılımları manuel olarak oluşturup çalıştırmaya ikna ediyor. Bu durum, siber güvenlik açılarından büyük bir tehlike oluşturmakta.
Saldırı Nasıl Çalışıyor?
ClickFix siber mühendislik saldırıları, hataların veya sorunların gösterildiği web sayfalarıdır; ardından bu sorunları çözmek için “çözümler” sunar. Bu sahte hatalar, yanlış hata mesajları, güvenlik uyarıları, CAPTCHA meydan okumaları veya kullanıcıları bir komut çalıştırmaya yönlendiren güncelleme bildirimleri gibi şekillerde karşımıza çıkabilir.
Kurbanlar, saldırganın talimatlarında verilen kötü niyetli PowerShell veya shell komutlarını çalıştırarak kendi makinelerini enfekte ediyor. Yeni ClickFix kampanyasında, saldırganlar, genellikle bir konaklama firmasıyla iletişim kurarak, Booking.com’dan bir otel misafirinin rezervasyonunu iptal ettiği taklidi yapan phishing e-postaları gönderiyor. İddia edilen geri ödeme miktarı, alıcıda bir aciliyet hissi oluşturacak kadar yüksek.
Etkilenen Sistemler
Bu saldırının yaşandığı sahte Booking.com web sitesi, “low-house[.]com” üzerinde barındırılmakta ve Securonix tarafından “yüksek kaliteli bir kopya” olarak nitelendirilmektedir. Sayfa, resmi Booking.com markası ve doğru renk paletleri, logolar ve yazı stilleri kullanılarak oluşturulmuştur.
Tıklanma ile birlikte, kurban bir sahte “Yükleme çok uzun sürüyor” hata mesajı ile karşılaşıyor, bu da kullanıcının sayfayı yenilemek için bir butona tıklamasını sağlıyor. Ancak butona tıkladıklarında, tarayıcı tam ekran moduna geçiyor ve sahte bir Windows BSOD görüntüsü ortaya çıkıyor.
Bu ekran, kurbanı Windows Çalıştır penceresini açmaya ve ardından CTRL+V ile panoya kopyalanmış zararlı komutu yapıştırmaya yönlendiriyor. Kullanıcı sonrasında OK butonuna basarak veya Enter tuşuna basarak komutu çalıştırıyor.
Gerçek BSOD mesajları kurtarma talimatı vermez ve yalnızca bir hata kodu ve yeniden başlatma bildirimi gösterir. Ancak, deneyimsiz kullanıcılar veya bir anlaşmazlığı çözme konusunda baskı altında olan konaklama personeli bu hile işaretlerini gözden kaçırabilir.
Komut çalıştırıldığında, bir PowerShell komutu başlatılır ve kullanıcıyı yanıltan bir Booking.com yönetim sayfası açılır. Arka planda ise, kötü niyetli bir .NET projesi (v.proj) indirilecek ve Windows’un MSBuild.exe derleyicisi ile derlenecektir.
Çözüm ve Korunma
Bu süreçte kötü niyetli yazılım (staxs.exe), DCRAT adı verilen ve genellikle uzaktan erişim için kullanılan bir trojan olarak sisteme sızdırılır. Malware, geçerli ‘aspnet_compiler.exe’ sürecine yerleştirilmekte ve doğrudan bellek içinde çalıştırılmaktadır.
Kötü niyetli yazılım, ilk temasında command-and-control (C2) sunucusuna sistem parmak izini gönderir ve daha sonra, uzaktan masaüstü işlevi, tuş kaydetme, ters kabuk ve ek yüklerin bellek içinde çalıştırılması gibi komutlar bekler. Securonix tarafından gözlemlenen bir durumda, saldırganlar bir kripto para madencisi indirdi.
Uzaktan erişim sağlandığında, tehdit aktörleri hedef ağda bir yere yerleşmiş oluyor ve diğer cihazlara yayılma, veri çalma ve sistemleri tehlikeye atma yeteneğine sahip oluyorlar.
Aksiyon Adımları
Kullanıcılar ve işletmeler, bu tür saldırılara maruz kalmamak için aşağıdaki önlemleri almalıdır:
- Sistem yazılımlarını düzenli olarak güncelleyin.
- Sahte e-postalara dikkat edin ve tanımadığınız kaynaklardan gelen bağlantılara tıklamayın.
- Antivirüs ve güvenlik yazılımlarını güncel tutun.
- Şüpheli bağlantılara tıklamadan önce her zaman dikkatli olun.
- Şirket içinde siber güvenlik farkındalığı eğitimleri düzenleyin.
Bu tür tehditlerle başa çıkmak için proaktif yaklaşmak, kurumların ve bireylerin güvenliğini artıracaktır.
