ClickFix Yöntemi: Yeni Bir Tehdit Dalgası
Son dönemde siber güvenlik alanında en çok dikkat çeken olaylardan biri ClickFix adlı bir sosyal mühendislik yöntemidir. ESET tarafından yayımlanan verilere göre, ClickFix kullanarak yapılan siber saldırılar, 2024 yılının ikinci yarısı ile 2025 yılı ilk yarısı arasında %517 oranında bir artış göstermiştir. Bu artış, kullanıcıların yanıltıcı CAPTCHA doğrulamaları ile dolandırılmasını konu alıyor.
Jiří Kropáč, ESET’in Tehdit Önleme Laboratuvarları direktörü, ClickFix saldırılarının günlük olarak gelişmekte olan tehditler listesine birçok yeni unsur eklediğini vurguluyor. Bu unsurlar arasında bilgi çalan yazılımlar, fidye yazılımları, uzaktan erişim trojanları, kripto madenciler ve ülke destekli tehdit aktörlerinin özelleştirilmiş kötü amaçlı yazılımları yer alıyor.
ClickFix’in Yaygınlığı ve Etkisi
ClickFix, kullanıcıları yanıltmak için sahte hata mesajları veya CAPTCHA doğrulama kontrolleri kullanarak onları kötü amaçlı bir komutu Windows’taki Çalıştır penceresine veya Apple’ın macOS Terminal uygulamasına kopyalayıp yapıştırmaya zorlamaktadır. Bu tekniğin en çok tespit edildiği ülkeler arasında Japonya, Peru, Polonya, İspanya ve Slovakya bulunmaktadır. ESET, ClickFix yöntemini kullanan siber aktörlerin bu yöntemi daha da geliştirip başkalarına sunmak için yapımcılar ortaya koyduğunu belirtiyor.
FileFix: Yeni Bir Alternatif
ClickFix’e karşı geliştirilen alternatiflerden biri de FileFix’tir. Güvenlik araştırmacısı mrd0x tarafından kanıtlanmış bir konsept olarak ortaya çıkan bu yöntem, kullanıcıları Windows Dosya Gezgini’ne sahte bir dosya yolu yapıştırmaları için yanıltır. FileFix’in amacı, ClickFix’in sağladığı hedefe ulaşmak ve kullanıcıları aynı şekilde kandırmaktır. Bu yöntem, Dosya Gezgini’nin adres çubuğundaki işletim sistemi komutlarını çalıştırabilme yeteneğini web tarayıcılarının dosya yükleme özellikleriyle birleştiriyor.
Örnek bir saldırı senaryosunda, bir tehdit aktörü kullanıcıyı sahte bir belge paylaşım mesajıyla kandırarak adres çubuğuna CTRL + L tuşlarına basarak dosya yolunu yapıştırmalarını ister. Phishing sayfasında ayrıca kullanıcıyı Dosya Gezgini’ni açmaya yönlendiren bir buton yer alır. Bu butona tıkladığında, kötü amaçlı bir PowerShell komutu kullanıcının panosuna kopyalanır. Kullanıcı dosya yolunu yapıştırdığında, aslında saldırganın komutu çalıştırılmaktadır.
Bu senaryo, kopyalanan dosya yolunu değiştirilerek PowerShell komutunun önce gelmesi sağlanarak gerçekleştirilir. Bu komut, görünürlüğü azaltmak için boşluklar eklenmiştir ve “#” ile sahte dosya yolunu yorum alanı olarak etiketler: Powershell.exe -c ping example.com# C:\\decoy.doc.
Phishing Kampanyaları: Gözlemlenen Artış
ClickFix kampanyalarının artışı, aynı zamanda son haftalarda tespit edilen çeşitli phishing kampanyalarıyla da örtüşmektedir. Bu kampanyalarda, kullanıcıların kişisel ve finansal bilgilerini çalabilen yöntemler kullanılmaktadır. Öne çıkan teknikler arasında:
- .gov uzantılı alan adları kullanarak, kullanıcıları yanıltan e-postalar gönderererek sahte sayfalara yönlendirme.
- Uzun ömürlü alan adları kullanarak, özelleştirilmiş CAPTCHA kontrol sayfalarına yönlendirme. Kullanıcılar bu sayfalarda kimlik bilgilerini kaybetmektedir.
- Kötü amaçlı Windows kısayolu (LNK) dosyaları içeren ZIP arşivleri dağıtmak.
- Kullanıcıların e-posta kutularının dolu olduğu uyarısıyla phishing sayfalarına yönlendirme.
- PDF belgeleri ile zararlı yazılımlar dağıtmak.
Bu tür kampanyalar, kullanıcıların dikkatini çekmek amacıyla çeşitli yöntemler kullanarak daha az şüpheli oldukları için koruma yazılımları tarafından daha az tespit edilmektedir. Ayrıca bu phishing sayfaları, genellikle dinamik yapıda olup SharePoint gibi güvenilir görünen platformlar üzerinde barındırılmaktadır. Bu, siber güvenlik önlemlerinin etkisiz olmasına neden olmaktadır.
Kullanıcıların bu tür saldırılara karşı dikkatli olmaları ve güvenilir kaynaklardan gelen e-postaları sorgulamaları büyük önem taşımaktadır. Eğitici içerikler ve bilinçlendirme kampanyaları, bu tür tehditlerden korunma konusunda önemli bir rol oynamaktadır.
