ClickFix Saldırısının Doğası
ClickFix saldırıları, kullanıcıları kandırmak amacıyla gerçekçi bir Windows güncelleme animasyonu ile dolu bir tarayıcı sayfasında kötü amaçlı yazılımı barındıran kodların gizlendiği sofistike sosyal mühendislik taktikleridir. Saldırı, kullanıcıların Windows Komut İstemi’ne kod yapıştırmasını ve çalıştırmasını sağlayarak sisteme malware yerleştirme üzerine tasarlanmıştır.
Bu tür saldırılar, siber suçlular tarafından yüksek etkisi nedeniyle geniş çapta benimsenmiştir ve sürekli olarak evrim geçirerek daha gelişmiş ve yanıltıcı tuzaklar sunmaktadır.
Sahte Güncelleme Ekranı ve Yöntemleri
1 Ekim 2023’ten itibaren araştırmacılar, kritik bir Windows güvenlik güncellemesi yükleme bahanesiyle gerçekleştirilen ClickFix saldırılarını gözlemlemiştir. Bu sahte güncelleme sayfası, kurbanlardan belirli tuşlara belirli bir sırayla basmalarını istemektedir. Bu işlem, JavaScript aracılığıyla otomatik olarak panoya kopyalanan komutları çalıştırarak kötü niyetli kodu uygulamaktadır.
Kaynak: BleepingComputer
Managed Security Services Provider (MSSP) Huntress’tan gelen raporlar, son ClickFix varyantlarının LummaC2 ve Rhadamanthys bilgi hırsızlarını hedef aldığını göstermektedir. Saldırganlar, bazen sahte Windows güncelleme ekranı kullanırken, bazen de insan doğrulaması sayfası gibi taktikler uygulamaktadır.
Saldırganlar, son malware yükünü bir resim içinde gizlemek için steganografi kullanmaktadır. Kötü niyetli kod, PNG görüntülerinin piksel verileri içinde doğrudan kodlanmakta ve bellekte yükü yeniden oluşturmak için belirli renk kanallarını kullanmaktadır.
Kötü Amaçlı Yazılımın Yüklenmesi
Son payload’un dağıtımı, mshta Windows yerel ikili dosyası kullanılarak kötü niyetli JavaScript kodunu çalıştırmakla başlamaktadır. Bu süreç, PowerShell kodu ve şifreli halde bir PNG dosyasının içindeki son yükü yeniden yapılandırmakla görevli bir .NET bileşeni (Stego Loader) kullanarak birden fazla aşamadan oluşmaktadır.
Stego Loader manifest kaynaklarının içinde, aslında şifrelenmiş bir PNG dosyası içeren AES şifreli bir blob bulunmaktadır ve bu dosya özel C# kodu ile yeniden inşa edilmektedir. Huntress araştırmacıları, saldırganların dinamik bir kaçınma taktiği olan ctrampoline kullandığını gözlemlemiştir; bu yöntemle giriş noktası fonksiyonu 10.000 boş fonksiyon çağırmaktadır.
Kaynak: Huntress
Shellcode, şifreli resimden çıkarılmakta ve Donut aracı kullanılarak hafızada VBScript, JScript, EXE, DLL dosyalarını çalıştırabilmektedir. Huntress araştırmacıları, analiz edilen saldırılarda malware olarak LummaC2 ve Rhadamanthys’i geri almayı başarmıştır.
Kaynak: Huntress
Korunma Yöntemleri
ClickFix saldırılarından korunmak için, araştırmacılar Windows Çalıştır kutusunun devre dışı bırakılmasını ve explorer.exe tarafından mshta.exe veya PowerShell’in başlatıldığı şüpheli süreç zincirlerinin izlenmesini tavsiye etmektedir. Ayrıca, bir siber güvenlik olayı incelendiğinde, kullanıcı komutlarını Windows Çalıştır kutusuna girip girmediğini izlemek için RunMRU kayıt anahtarının kontrol edilmesi gerektiği belirtilmektedir.
