FileFix Saldırısı ve Gelişmiş Yöntemler
Son dönemde siber güvenlik alanında dikkat çeken bir gelişme, yeni bir FileFix sosyal mühendislik saldırısı çeşidinin ortaya çıkmasıdır. Bu saldırı türü, cache smuggling tekniğini kullanarak, hedefin sistemine gizlice kötü niyetli ZIP dosyası indirmeyi ve güvenlik yazılımlarını atlatmayı amaçlamaktadır. İlk olarak Fortinet VPN Uygunluk Kontrolcüsü olarak kendini tanıtan bu yeni saldırı türü, siber güvenlik araştırmacısı P4nd3m1cb0y tarafından tespit edilmiştir.
Expel adlı siber güvenlik firmasında görevli araştırmacı Marcus Hutchins, bu saldırının nasıl çalıştığına dair daha fazla detayı içeren bir rapor yayınlamıştır. FileFix saldırıları, daha önceden geliştirilmiş olan ClickFix sosyal mühendislik saldırılarının bir varyantıdır. Kullanıcıları, işletim sistemi diyalog kutularına kötü niyetli komutlar yapıştırmaya teşvik etmek yerine, Windows Dosya Gezgini adres çubuğunu kullanarak PowerShell betikleri çalıştırmak için tasarlanmıştır.
Cache Smuggling ile Evrilen FileFix Saldırısı
Yeni sosyal mühendislik saldırısında, bir web sitesi, kullanıcıları Fortinet VPN “Uygunluk Kontrolcüsü” gibi görünen bir ileti kutusuna yönlendirerek, ağ paylaşımında yer alan meşru bir yol kopyalamalarını istemektedir. Ancak bu yol, kopyalandığında uzun bir dizi boşlukla gizlenmiş bir PowerShell komutu içermektedir.
Kullanıcılar bu talimata uyduğunda, yalnızca bu yol görünmektedir. Ancak kullanıcı Enter tuşuna bastığında, Windows, ardındaki gizli PowerShell komutunu çalıştırır. Bu komut, öncelikle %LOCALAPPDATA%FortiClientcompliance klasörünü oluşturur ve ardından Chrome’un önbelleğinde yer alan dosyaları bu klasöre kopyalar.
Betik, her önbellek dosyasını tarayıp içinde “bTgQcBpv” ile “mX6o0lBw” arasındaki içeriği bulur ve bu içerik, kötü niyetli bir ZIP dosyasını içermektedir. ZIP dosyası, ComplianceChecker.zip olarak çıkarılır ve içindeki kötü amaçlı kod çalıştırılır.
Kötü niyetli dosyanın Chrome önbellek dosyalarında nasıl yer aldığı ise, cache smuggling tekniğinde gizlidir. Kullanıcı, bu kötü niyetli sayfayı ziyaret ettiğinde, site, tarayıcıyı bir resim dosyasını almak üzere yönlendirir. HTTP yanıtı, gelen resmin türünü “image/jpeg” olarak tanımladığında, tarayıcı bunu meşru bir görsel olarak kaydeder.
Bu işlem, PowerShell komutunun çalıştırılmadan önce yapılmış olduğundan, kötü niyetli dosya önbellekte zaten mevcuttur ve bu sayede ZIP dosyası çıkarılabilir. Hutchins, bu tekniğin birçok güvenlik ürününü atlatma yeteneğine sahip olduğunu vurgulamaktadır. Ne web sayfası ne de PowerShell betiği herhangi bir dosya indirme işlemi gerçekleştirdiği için, bu saldırılar genellikle fark edilmez.
ClickFix Üretici Aracı ve Ekosistemin Genişlemesi
Yalnızca yeni cache-smuggling FileFix varyantı değil, aynı zamanda Palo Alto Unit 42 araştırmacıları tarafından tespit edilen yeni bir ClickFix kit olan “IUAM ClickFix Üretici” de dikkat çekmiştir. Bu yeni araç, ClickFix tarzı tuzakların otomatik olarak oluşturulmasını sağlamaktadır.
IUAM ClickFix Üretici arayüzü, kötü niyetli kişilerin sahte doğrulama sayfalarını tasarlamalarına olanak tanırken, sayfa başlıklarını, metinlerini düzenleme ve clipboard yüklemelerini yapılandırma konusunda esneklik sunmaktadır. Bu kit, aynı zamanda işletim sistemi tespiti de yaparak, Windows için PowerShell komutları ya da macOS için Base64 kodlu kabuk komutları sunmaktadır.
Üretilen tuzakların çoğu, sahte bir Cloudflare CAPTCHA içermekte olup, araştırmacılar birçok web sitesinin bu tür sahte sayfalar kullandığını gözlemlemiştir. Bu sahte sayfalar, kullanıcıları gizli komutlar çalıştırmaya yönlendirmektedir.
Sonuç olarak, siber güvenlik türünde bu tarz sosyal mühendislik saldırıları, tehdit aktörleri arasında giderek popüler hale gelmektedir. Bu nedenle, çalışanların web sitelerinden metin kopyalayıp işletim sistemi diyalog kutularında çalıştırmamalarına yönelik eğitim almaları son derece önemlidir.
Gelişen teknolojiyle birlikte, siber tehditlerin çeşitliliği ve karmaşıklığı artarken, alınacak tedbirlerin güncellenmesi ve herkesin bilinçlendirilmesi gerekliliği de bir o kadar önemlidir.
