Siber suçlular, ClickFix sosyal mühendislik saldırılarını 10 yıllık açık kaynaklı PySoxy SOCKS5 proxy aracıyla birleştirerek, kurbanların makinelerinde kötü amaçlı yazılım olmadan kalıcı erişim sağlamanın yeni bir yolunu buldu. ReliaQuest güvenlik araştırmacıları tarafından detaylandırılan bu kampanya, ClickFix saldırılarının tek seferlik kullanıcı yürütmesinden modüler sömürü sonrası aşamaya geçtiğini ve tespit ile müdahaleyi zorlaştırdığını gösteriyor.
ClickFix, kullanıcıları farkında olmadan kötü amaçlı komutlar çalıştırmaya veya zararlı yükler indirmeye kandıran bir sosyal mühendislik taktiğidir. Genellikle kötü amaçlı yazılım dağıtmak veya giriş bilgilerini çalmak için kullanılır. ReliaQuest, 12 Mayıs'ta yayımladığı blog yazısında, inceledikleri ClickFix saldırısının, ilk erişimi engellemenin bile saldırıyı durdurmadığını belirtti. Bunun yerine, proxy aracı yerel bir kalıcılık mekanizması içeriyor ve bu sayede etkinlik planlanmış bir görev aracılığıyla sürekli yeniden başlatılabiliyor.
Saldırganlar PySoxy'yi dikkatlice devreye soktu. İlk ClickFix ihlalinden hemen sonra değil, ortam hakkında bilgi topladıktan, olası hedefleri belirledikten ve ana bilgisayarın saldırgan kontrolündeki altyapı ile iletişim kurabildiğini doğruladıktan sonra kullanıldı. ReliaQuest kıdemli siber tehdit istihbarat analisti Ivan Righi, bu sıralamanın önemli olduğunu, çünkü tek seferlik keşif değil, sürekli erişim için kasıtlı bir hazırlık gösterdiğini belirtti. Proxy, saldırganların kontrol sunucusuna başarıyla bağlandıktan sonra son yük devreye sokuldu.
Araştırmacılar, saldırganların PowerShell ve Python betikleriyle son yükü çalıştırmaya çalıştığını, ayrıca bir Uzaktan Erişim Truva Atı (RAT) bırakmayı denediğini gözlemledi. Her iki kanal da uç nokta kontrolleri tarafından engellendi, ancak kalıcılık mekanizması sayesinde tekrar tekrar yürütme denemeleri yapılabildi. ReliaQuest, güvenlik ekiplerine ClickFix olaylarında kalıcılık ve ikincil araçlar varsa, bunları aktif ihlal soruşturması olarak ele almalarını, ana bilgisayarı izole etmelerini, tüm yapıtları incelemelerini ve tüm erişim yolları ile aşamalı bileşenlerin kaldırıldığını doğrulamalarını öneriyor.