Siber suçlular, ClickFix saldırılarını on yıllık açık kaynak Python SOCKS5 proxy aracı PySoxy ile birleştirerek, kötü amaçlı yazılım kullanmadan hedef makinelerde kalıcılık sağlamanın yeni bir yolunu buldu. ReliaQuest güvenlik araştırmacıları tarafından detaylandırılan bu kampanya, ClickFix saldırılarının tek seferlik kullanıcı etkileşiminden modüler sömürü sonrası aşamaya geçtiğini ve bu saldırıların tespit edilmesini ve kontrol altına alınmasını zorlaştırdığını gösteriyor.
ClickFix, kullanıcıları farkında olmadan kendi makinelerinde kötü amaçlı komutlar çalıştırmaya veya zararlı yükleri indirmeye kandıran bir sosyal mühendislik taktiğidir. Son dönemde kötü amaçlı yazılım dağıtmak veya kullanıcı giriş bilgilerini çalmak için yaygın olarak kullanılan bu yöntem, ReliaQuest'in incelediği saldırıda farklı bir boyut kazandı. Araştırmacılar, ClickFix ile elde edilen ilk erişimin engellenmesinin mutlaka saldırıyı durdurmadığını, çünkü PySoxy proxy aracının bir zamanlanmış görev aracılığıyla kalıcılık mekanizmasına sahip olduğunu belirtti.
Saldırganlar, PySoxy'yi tanıtmadan önce ortam hakkında bilgi toplamak, potansiyel hedefleri belirlemek ve ana bilgisayarın kendi kontrol altyapılarıyla iletişim kurabildiğini doğrulamak için zaman harcadı. ReliaQuest’ten Ivan Righi, ‘Bu sıralama önemli çünkü tek seferlik keşif değil, sürekli erişim için kasıtlı bir hazırlık olduğunu gösteriyor’ dedi. Proxy, kontrol sunucusuna başarıyla bağlandıktan sonra nihai yük devreye sokuldu. Saldırganlar PowerShell ve Python betikleriyle veya bir RAT bırakarak bu yükü yerleştirmeye çalıştı ancak her iki kanal da uç nokta kontrolleri tarafından engellendi. Yine de kalıcılık mekanizması, tekrarlanan yürütme girişimlerine izin verdiği için önemini korudu.
Detaylar ve Etkileri
ReliaQuest, benzer ClickFix saldırılarına karşı güvenlik ekiplerine zamanlanmış görevleri inceleme, Python eserlerini analiz etme ve proxy tarzı Python komut satırlarını arama önerisinde bulundu. Ayrıca, ClickFix olaylarının kalıcılık ve ikincil araçlar içermesi durumunda, aktif bir ihlal soruşturması olarak ele alınması gerektiğini vurguladı. Bu ayın başlarında Avustralya Siber Güvenlik Merkezi (ACSC), altyapı sağlayıcılarını ve diğer kuruluşları hedef alan yaygın bir ClickFix kampanyası hakkında uyarı yayınlamıştı.