Siber suçlular, kullanıcıları kendi cihazlarına ve hesaplarına zarar vermeye ikna etmek için yeni yollar geliştirmeye devam ediyor. Son dönemde iki farklı saldırı yöntemi dikkat çekiyor. Bunlardan ilki, X platformunda yayınlanan sponsorlu bir reklam aracılığıyla Mac kullanıcılarını hedef alan ClickFix saldırısı. İkincisi ise, hiçbir kötü amaçlı yazılım yüklemeden Microsoft 365 hesaplarını ele geçiren ConsentFix adlı yöntem. Bu saldırılar, kullanıcıların güvenlik farkındalığını test ediyor ve geleneksel korunma yöntemlerinin yetersiz kalabileceğini gösteriyor.
Araştırmacılar, X'te sponsorlu bir reklam olarak yayınlanan ClickFix tarzı bir saldırı keşfetti. Reklam, doğrulanmış bir hesaptan yayınlandığı için ek bir güvenilirlik katmanına sahipti. ClickFix kampanyaları, geçmişte sahte 'insan doğrulama' ekranları gibi ikna edici tuzaklar kullanıyordu. Bu kez, MacBook'un çentiğini Apple'ın Dynamic Island'ının resmi olmayan ancak işlevsel bir sürümüne dönüştüren meşru bir macOS yardımcı programı olan DynamicLake için sahte bir indirme sayfası oluşturuldu. Bu tür saldırılar, kullanıcının panodan bir komutu yapıştırmasını gerektirdiği için büyük ölçüde kullanıcı etkileşimine dayanıyor.
Gerçekte, bağlantıya tıklayan kişiler dynamicmacisland[.]com adlı sahte bir alan adına yönlendirildi. Burada, Terminal'i açmaları ve sessizce kötü amaçlı yazılım yükleyen yükleme komutlarını yapıştırmaları istendi. Kampanya, üç endişe verici trendi birleştiriyor: Terminal komutlarını kullanan ClickFix tarzı sosyal mühendislik, güvenilir Mac uygulamalarını taklit eden sahte alan adları ve saldırıları geniş kitlelere ulaştırmak için kullanılan ücretli reklam altyapısı. Araştırmacılar, kötü amaçlı yazılımın Atomic Stealer bilgi hırsızının çeşitli varyantlarını teslim ettiğini belirtiyor.
Önemli Gelişmeler
Bu saldırı, daha önce Google Ads'te güvenilir geliştirici araçları ararken kullanıcıları hedef alan sahte sponsorlu listelere benziyor. Ders açık: Ücretli yerleşim ve doğrulama rozetleri güvenlik garantisi değildir, özellikle saldırganlar kampanyaları otomatik taramayı atlatacak şekilde tasarladığında. Araştırmacılar reklamı X'e bildirdi ve hesap sahibiyle iletişime geçti. Reklamın kaldırıldığı görülüyor.
Windows kullanıcıları da ConsentFix adlı yeni nesil ClickFix saldırıları konusunda uyarılıyor. ConsentFix, ClickFix'ten farklı olarak sizi yükleyici değil, kimlik sağlayıcıya dönüştürüyor. Kötü amaçlı yazılım çalıştırmanızı istemek yerine, sosyal mühendislik kullanarak bulut oturum belirteçlerinizi tarayıcı üzerinden teslim etmenizi sağlıyor. Saldırı, Dropbox gibi güvenilir platformlarda barındırılan bir bağlantı içeren bir kimlik avı e-postasıyla başlayabiliyor. Bazen bağlantı parola korumalı oluyor, bu da güvenlik araçlarının incelemesini zorlaştırıyor.
Sonuç ve Değerlendirme
Kullanıcı bağlantıya tıkladığında, standart bir Microsoft oturum açma sayfası görüyor ve bir localhost geri çağırma bağlantısını tarayıcıya sürükleyerek işlemi tamamlaması isteniyor. İşte tuzak burada kapanıyor. Kullanıcı farkında olmadan oturum belirteçlerini saldırgana teslim ediyor, böylece şifre veya çok faktörlü kimlik doğrulama (MFA) gerektirmeden e-posta ve diğer Microsoft 365 hizmetlerine erişim sağlanıyor. Bu yöntemin bir Rus siber suç forumunda paylaşıldığı bildiriliyor, bu da daha az deneyimli siber suçluların Microsoft 365 hesaplarını çalmasını kolaylaştırıyor.
Bu saldırılara karşı en iyi korunma yöntemi, bu tür tehditlerin varlığını bilmek ve nasıl göründüklerini tanımaktır. Ek olarak, beklenmedik bağlantılara güvenmeyin, alışılmadık veya tam olarak anlamadığınız talimatları uygulamadan önce düşünün, kimlik bilgilerini girerken tarayıcı adres çubuğunu kontrol edin ve güncel bir anti-kötü amaçlı yazılım çözümü kullanın. Malwarebytes Browser Guard gibi ücretsiz eklentiler, kötü amaçlı web sitelerine ve ClickFix saldırılarına karşı koruma sağlayabilir. Bu tür tehditleri henüz zarar vermeden durdurun.
Kaynak: malwarebytes.com