Avustralya Siber Güvenlik Merkezi (ACSC), 7 Mayıs'ta yayımladığı acil uyarıyla, ClickFix sosyal mühendislik tekniğini kullanan geniş çaplı bir siber saldırı kampanyasına dikkat çekti. Avustralya Sinyal İstihbarat Müdürlüğü (ASD) bünyesindeki ACSC, bu kampanyanın özellikle Vidar Stealer adlı bilgi hırsızı zararlı yazılımını hedef altyapı ve kuruluşlara bulaştırmayı amaçladığını belirtti. Vidar Stealer, 2018'den beri aktif olan ve Microsoft Windows kullanıcılarını hedefleyen bir zararlı yazılım türüdür. Kullanıcı adları, şifreler, kredi kartı bilgileri, kripto para cüzdanları, tarayıcı geçmişi ve çok faktörlü kimlik doğrulama (MFA) token'ları gibi hassas verileri çalmak için tasarlanmıştır.
ACSC'nin raporuna göre, saldırganlar bu kampanyada güvenliği ihlal edilmiş WordPress sitelerini kullanarak kullanıcıları zararlı yazılım dağıtan sitelere yönlendiriyor. Bu sitelerde kullanılan ClickFix tekniği, sahte CAPTCHA doğrulama ekranları aracılığıyla kullanıcıları kandırarak kötü amaçlı komutlar çalıştırmalarını veya zararlı yükler indirmelerini sağlıyor. Kullanıcının kendi eliyle çalıştırdığı bu komutlar, geleneksel siber güvenlik önlemlerini genellikle aşabiliyor. Vidar Stealer, kurulumun ardından savunma kaçırma teknikleri kullanıyor; ilk çalıştırılabilir dosyayı siliyor ve bellekte çalışmaya devam ederek tespit ve temizlenmesini zorlaştırıyor.
ClickFix saldırıları, kullanıcıların güvenlik uyarılarını dikkate almamasından yararlanıyor. Sahte CAPTCHA ekranları, kullanıcıya 'Bir robot olmadığınızı kanıtlamak için aşağıdaki komutu kopyalayıp çalıştırın' gibi yönergeler veriyor. Bu komut aslında Vidar Stealer'ı indirip çalıştıran bir PowerShell betiği olabiliyor. Kullanıcı komutu çalıştırdığında, zararlı yazılım sessizce sisteme sızıyor ve hassas verileri toplamaya başlıyor. Bu nedenle ACSC, özellikle Windows işletim sistemi kullanan kuruluşların dikkatli olması gerektiğini vurguluyor.
ACSC, Vidar Stealer ve benzeri ClickFix tabanlı saldırılara karşı kuruluşların aşağıdaki önlemleri almasını öneriyor: Kullanıcıları şüpheli CAPTCHA ve komut çalıştırma taleplerine karşı bilinçlendirin; güvenlik duvarları ve uç nokta koruma çözümlerini güncel tutun; WordPress sitelerini düzenli olarak güncelleyin ve güvenlik açıklarını kapatın; çalışanların yönetici yetkilerini sınırlayın; ağ trafiğini izleyin ve anormal aktiviteleri tespit edin; yedekleme prosedürlerini uygulayın. Ayrıca, ACSC'nin yayımladığı tam kılavuzdaki adımların izlenmesi tavsiye ediliyor.