Siber güvenlik araştırmacıları, kullanıcıları kendi cihazlarına kötü amaçlı yazılım yüklemeye ikna eden ClickFix saldırılarının yeni bir varyantını tespit etti. Bu son kampanyada saldırganlar, sahte Google ve Cloudflare doğrulama sayfaları kullanarak kurbanları kandırıyor. Kullanıcıların bir anlık dikkatsizliği, parolaları ve hassas verileri çalan, uzaktan erişim sağlayan veya sistemi tamamen ele geçiren zararlı yazılımların bulaşmasına yol açabiliyor. Araştırmalar, aynı altyapıyı kullanan birden fazla kampanyanın HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport ve Rust tabanlı bir hırsız gibi birçok farklı kötü amaçlı yazılım ailesini yaydığını ortaya koydu.
Saldırı zincirlerinden birinde, meşru Franz mesajlaşma uygulamasının truva atılaştırılmış bir sürümü, daha önce belgelenmemiş ResiLoader adlı bir yükleyici indiriyor. Bu yükleyici, güvenlik yazılımını devre dışı bıraktıktan sonra StealC bilgi hırsızını dağıtıyor. Araştırmacılar, kampanyaların en az 2025 sonlarından beri aktif olduğunu ve sahte Google ile Cloudflare sayfalarını kullanarak sürekli yeni yükler ve dağıtım yöntemleri test ettiğini belirtiyor. Ortak altyapı belirtileri arasında C:\ProgramData\Zooms klasörünün kullanımı, PowerShell ClickFix komutlarının benzer kalıpları, Cloudflare R2 bucket'ları ve Dedik Services ASN'li IP adresleri yer alıyor.
Bu tür saldırılardan korunmanın en etkili yolu, bir web sitesinden gelen talimatları körü körüne uygulamamaktır. Google, Cloudflare veya Microsoft gibi meşru hizmetler, sizi insan olduğunuzu kanıtlamak veya bir sorunu çözmek için asla PowerShell komutları çalıştırmaya yönlendirmez. Sahte doğrulama sayfaları genellikle geri sayım sayaçları veya uyarılarla aciliyet hissi yaratır. Bu tür taktiklere karşı dikkatli olun ve güvenlik yazılımınızı güncel tutun. Ayrıca, şüpheli bir web sitesinin panoya içerik kopyalamaya çalışması durumunda sizi uyaran Malwarebytes Browser Guard gibi araçları kullanabilirsiniz.
Teknik analizler, ClickFix kampanyalarının eski ve ele geçirilmiş web siteleri, Cloudflare Pages (pages.dev alt alan adları) ve sahte hizmetler (QR kod veya dosya erişimi gibi) aracılığıyla dağıtıldığını gösteriyor. Google ClickFix tuzaklarında, reCAPTCHA benzeri sayfalar kullanılırken, Cloudflare varyantlarında "Güvenlik Ağ Geçidi" adlı gizlenmiş bir kod aracılığıyla PowerShell komutları çalıştırılıyor. Kullanıcıların bu tür saldırılara karşı en iyi savunması, beklenmedik teknik talimatları sorgulamak ve yalnızca resmi destek kanallarından doğrulama yapmaktır.