FileFix: Yeni Bir Sosyal Mühendislik Saldırısı
Son günlerde, FileFix adı verilen yeni bir sosyal mühendislik saldırısı ortaya çıkmıştır. Bu saldırı, kullanıcıları Meta hesaplarının askıya alınacağına dair sahte uyarılarla kandırarak, StealC adı verilen bir bilgi hırsızlığı yazılımını yüklemeye yönlendirmektedir. FileFix, sosyal mühendislik tekniklerini kullanarak, kullanıcıların işletim sistemi diyalog kutularına kötü niyetli komutlar yapıştırmalarını sağlamaktadır.
FileFix’in Özellikleri
FileFix, ClickFix saldırı ailesinin bir varyantıdır. Red team araştırmacısı mr.d0x tarafından geliştirilen bu teknik, kullanıcılara Windows ile ilgili sorunları çözmek amacıyla zararlı komutlar yapıştırmaları için kandırmakta ve bunu Dosya Gezgini adres çubuğunu kullanarak gerçekleştirmektedir. FileFix öncesinde, Interlock fidye yazılımı çetesi daha önce bu yöntemi kullanarak uzaktan erişim trojanı (RAT) yüklemiştir. Ancak mevcut kampanya, yeni tuzaklarla evrim geçirerek daha geliştirilmiştir.
Yeni FileFix Kampanyası
Acronis tarafından tespit edilen yeni kampanya, Meta’nın destek ekibi olarak sahte bir sayfa oluşturarak, kullanıcılara “yedi gün içinde hesabının kapatılacağı” uyarısında bulunuyor. Kullanıcılara, Meta’dan alınmış gibi görünen bir “olay raporunu” görüntülemeleri gerektiği söyleniyor. Ancak bu sahte rapor, aslında hedeflerin cihazlarına kötü niyetli yazılım yüklemek için kullanılan bir PowerShell komutudur.
Dikkat çeken detaylardan biri; phishing sayfasındaki “Kopyala” butonuna tıklanmasının, aslında Windows panosuna zararlı bir PowerShell komutunu kopyaladığını göstermesidir. Kopyalanan bu komut, sadece dosya yolunu gösterecek şekilde tasarlanmıştır. Acronis, “Kullanıcıyı bir ‘olay raporu’ PDF dosyasının yolunu yapıştırdığını düşündürmek amacıyla, yüklemenin sonunda birçok boşluktan oluşan bir değişken eklenmiştir,” açıklamasında bulunmaktadır.
Saldırının Teknik Detayları
Bu kampanya dikkat çekici bir şekilde, bir JPG görüntü dosyası içerisinde hem ikinci aşama PowerShell script’ini hem de şifrelenmiş çalıştırılabilir dosyaları gizlemek için steganografi kullanmaktadır. Hedef, ilk aşamada farkında olmadan PowerShell komutunu girerek görüntüyü indirir ve yerleşik ikincil script’i çıkartır. Bu script, hafızadaki yüklemeleri şifrelemek için kullanılmaktadır.
Sonuç olarak, bu sıradışı yükleme işleminin, zırhlayıcı bir yapıya sahip olduğu söylenebilir. StealC infostealer malware, enfekte olan cihazlardan çeşitli verileri çalmak üzere tasarlanmıştır. Tarayıcı kimlik bilgileri, mesajlaşma uygulamalarındaki çıkışlar, kripto para cüzdan bilgileri ve daha fazlası hedef alınmaktadır.
Kampanyanın Gelişimi ve Yayılma Alanı
Acronis, yapılan incelemelerde iki hafta boyunca birden fazla FileFix kampanyası gözlemlemiştir. Her bir kampanya, farklı yüklemeler, alan adları ve tuzaklarla çeşitlendirilmiştir. Bunun, saldırganın infrastrukturunu test ettiğine ya da kampanya sırasında yeni öğeler ekleyerek kendisini geliştirdiğine işaret edebilir.
Şirketler, çalışanlarını phishing taktikleri konusunda eğitmeye devam etse de, ClickFix ve FileFix taktikleri görece yeni kalmakta ve sürekli olarak evrim geçirmektedir. Acronis, kullanıcıların zararsız sistem diyaloglarına web sitelerinden veri kopyalamalarının riskleri hakkında daha fazla eğitim almalarını tavsiye etmektedir.
Bu tür saldırılara karşı önlem almak, modern işletmelerin güvenlik stratejilerinin önemli bir parçasıdır. Çalışanların bilinçlendirilmesi, bu tehditlere karşı savunmanın ilk adımıdır.
