Siber suçlular, ClickFix sosyal mühendislik saldırılarını 10 yıllık açık kaynaklı PySoxy SOCKS5 proxy aracıyla birleştirerek, kurbanların cihazlarında kötü amaçlı yazılım olmadan kalıcılık sağlamayı başardı. ReliaQuest güvenlik araştırmacıları tarafından detaylandırılan kampanya, ClickFix saldırılarının tek seferlik kullanıcı yürütmesinin ötesine geçerek modüler sömürü sonrası aşamalara evrildiğini gösteriyor. Bu durum, saldırıların tespit edilmesini ve kontrol altına alınmasını zorlaştırıyor.
ClickFix, kullanıcıları farkında olmadan kötü amaçlı komutlar çalıştırmaya veya zararlı yükler indirmeye ikna eden bir sosyal mühendislik taktiği. Yaygın olarak kötü amaçlı yazılım dağıtmak veya kimlik bilgilerini çalmak için kullanılıyor. ReliaQuest'in 12 Mayıs tarihli blog yazısına göre, inceledikleri ClickFix saldırısı, ilk erişimin engellenmesinin saldırıyı durdurmadığı için dikkat çekiciydi. Proxy aracı, zamanlanmış bir görev aracılığıyla faaliyetin yeniden başlamasını sağlayan yerel bir kalıcılık mekanizması içeriyordu.
Saldırganlar, PySoxy'yi dikkatlice devreye soktu. İlk ClickFix ihlalinin hemen ardından başlatılmadı; bunun yerine, saldırgan ortam hakkında bilgi toplamak, potansiyel hedefleri belirlemek ve ana bilgisayarın saldırgan kontrolündeki hazırlık altyapısıyla iletişim kurabildiğini doğrulamak için zaman harcadı. ReliaQuest'ten Ivan Righi, 'Bu sıra, sadece tek seferlik keşif değil, sürekli erişim için kasıtlı bir hazırlık olduğunu gösteriyor' dedi. Proxy, saldırganların kontrol sunucusuna başarıyla bağlandıktan sonra nihai yük devreye sokuldu.
Araştırmacılar, saldırganların PowerShell ve Python betikleriyle girişimde bulunduğunu, ayrıca bir Uzaktan Erişim Truva Atı (RAT) bırakmayı denediğini gözlemledi. Her iki kanal da uç nokta kontrolleri tarafından engellendi, ancak kalıcılık mekanizması, tekrarlanan yürütme girişimlerine izin verdiği için hala önemliydi. Righi, 'Yanıt ekipleri için bu, kalıcılık ve ikincil araçlar içeren ClickFix olaylarının, aktif ihlal araştırmaları olarak ele alınması gerektiği anlamına geliyor' uyarısında bulundu. ReliaQuest, güvenlik ekiplerine zamanlanmış görevleri incelemelerini, Python yapılarını analiz etmelerini ve proxy tarzı Python komut satırlarını aramalarını önerdi.