Siber güvenlik araştırmacıları ClickFix adlı saldırının yeni yöntemlerini ortaya çıkardı. Tehdit aktörleri tam ekran çalışan sahte Windows güncelleme sayfalarıyla kullanıcıları yanıltıyor. Kurbanlar ekranda gösterilen yönergeleri izlediğinde komut satırında zararlı kodlar çalıştırılıyor.
ClickFix Saldırısı Sahte Güncelleme Ekranı Altında İlerliyor
Araştırmacılar 1 Ekim’den itibaren sahte Windows güncelleme sayfalarıyla başlayan ClickFix vakaları tespit etti. Saldırganlar tam ekran tarayıcı görüntüsüyle gerçek bir güncelleme süreci simüle ediyor. Ekranda kullanıcıdan belirli tuşlara sırasıyla basması isteniyor. Tarayıcıda çalışan JavaScript kodu bu sırada zararlı komutları otomatik olarak panoya kopyalıyor. Kullanıcı yönergeleri uyguladığında komutlar çalıştırılıyor.
Sahte Windows güncelleştirme ekranı
Huntress ekipleri yeni varyantlarda LummaC2 ile Rhadamanthys bilgi hırsızlarının dağıtıldığını belirledi. Saldırganlar sahte güncelleme ekranının yanında insan doğrulaması görüntüsü de kullandı. Her iki yöntemde zararlı kod PNG dosyalarına gizlendi. Araştırmacılar piksel verilerinin renk kanallarına gömülü halde şifrelenmiş bir zararlı yük bulunduğunu açıkladı. Payload bellekte çözüldüğünde çalıştırılabilir hale geliyor.
ClickFix saldırısında süreç mshta.exe üzerinden çalışan bir JavaScript dosyasıyla başlıyor. Ardından PowerShell kodlarını içeren aşamalar devreye giriyor. Son aşamada Stego Loader adlı .NET bileşeni çalıştırılıyor. Bu bileşende AES ile şifrelenmiş steganografik PNG bulunuyor. Dosya bellekte çözüldüğünde Donut aracıyla paketlenmiş shellcode ortaya çıkıyor. Shellcode çözüldüğünde LummaC2 ya da Rhadamanthys yürütülüyor.
Saldırıya genel bakış
Araştırmacılar analiz sırasında saldırganın ctrampoline taktiğini kullandığını gözlemledi. Yöntem çalıştırma noktasında binlerce boş fonksiyon çağrısı ekleyerek analiz sürecini geciktiriyor. Rhadamanthys yükünü içeren varyant ilk kez ekim ayında görüldü. 13 Kasım’da yapılan Operation Endgame operasyonu altyapıya kısmi darbe vurdu. Güncelleme ekranlarını barındıran alan adları çalışmayı sürdürdü fakat zararlı yük dağıtımı durdu.
Uzmanlar saldırıya karşı temel önlemleri paylaştı. Windows çalıştır kutusunun devre dışı bırakılması öneriliyor. explorer.exe üzerinde başlayan mshta.exe ya da PowerShell süreçleri için izleme yapılması önemli görülüyor. Olay incelemelerinde araştırmacılar RunMRU kayıt defteri anahtarını kontrol ederek kullanıcının çalıştır kutusuna kod girip girmediğini anlayabiliyor.
