Siber Muhbir

Fransız siber güvenlik şirketi Sekoia, paylaşılan bir raporda, "Bu taktik, kullanıcıları belirli bir kötü amaçlı PowerShell kodunu kopyalayıp yürütmeleri için kandırmak ve sonunda sistemlerine bulaştırmak için web tarayıcılarında sahte hata mesajları görüntülemeyi içeriyor" dedi.

ClickFix (diğer adıyla ClearFake ve OneDrive Pastejacking) kampanyasının varyasyonları son aylarda geniş çapta bildirildi ve tehdit aktörleri, site ziyaretçilerini web tarayıcısında içerik görüntülemeyle ilgili varsayılan bir sorunu çözmek için kodlanmış bir PowerShell kodu çalıştırmaya teşvik ederek kullanıcıları kötü amaçlı yazılım dağıtmayı amaçlayan sahte sayfalara yönlendirmek için farklı tuzaklar kullanıyor.

Bu sayfaların Facebook, Google Chrome, PDFSimpli ve reCAPTCHA dahil olmak üzere popüler çevrimiçi hizmetler gibi göründüğü biliniyor ve şimdi Google Meet ve potansiyel olarak Zoom -

• meet.google.us-join[.]Com
• meet.googie.com-birleştirme[.]ABD
• meet.google.com-birleştirme[.]ABD
• meet.google.web-join[.]Com
• meet.google.webjoining[.]Com
• meet.google.cdm-join[.]ABD
• meet.google.us07host[.]Com
• googiedrivers[.]Com
• us01web-zoom[.]ABD
• us002webzoom[.]ABD
• web05-yakınlaştırma[.]ABD
• web odası-yakınlaştırma[.]ABD

Windows'ta saldırı zinciri, StealC ve Rhadamanthys hırsızlarının konuşlandırılmasıyla sonuçlanırken, Apple macOS kullanıcılarına, Atomic olarak bilinen başka bir hırsızı düşüren bubi tuzaklı bir disk görüntü dosyası ("Launcher_v1.94.dmg") sunulur.

Ortaya çıkan bu sosyal mühendislik taktiği, kullanıcıların kötü amaçlı PowerShell komutunu kendileri tarafından indirilen ve yürütülen bir yük tarafından otomatik olarak çağrılmak yerine, doğrudan terminalde manuel olarak çalıştırmasını içerdiğinden, güvenlik araçları tarafından tespit edilmekten akıllıca kaçınması nedeniyle dikkate değerdir.

Sekoia, Google Meet'i taklit eden kümeyi, sırasıyla markopolo ve CryptoLove'ın alt ekipleri olan Slavic Nation Empire (diğer adıyla Slavice Nation Land) ve Scamquerteo olmak üzere iki traffers grubuna bağladı.

"Her iki traffers takımı da [...] Google Meet'i taklit eden aynı ClickFix şablonunu kullanın," dedi Sekoia. "Bu keşif, bu ekiplerin altyapının yanı sıra 'iniş projesi' olarak da bilinen malzemeleri paylaştığını gösteriyor."

Bu da, her iki tehdit grubunun da aynı, henüz bilinmeyen siber suç hizmetini kullanma olasılığını artırdı ve muhtemelen altyapılarını bir üçüncü taraf yönetiyor.

Gelişme, Skuld ve Kematian Stealer ile örtüşen açık kaynaklı ThunderKitty hırsızının yanı sıra Divulge, DedSec (diğer adıyla Doenerium), Duck, Vilsa ve Yunit adlı yeni hırsız ailelerini dağıtan kötü amaçlı yazılım kampanyalarının ortaya çıkmasının ortasında geldi.

Siber güvenlik şirketi Hudson Rock, Temmuz 2024'te "Açık kaynaklı bilgi hırsızlarının yükselişi, siber tehditler dünyasında önemli bir değişimi temsil ediyor" dedi.

"Giriş engelini azaltarak ve hızlı inovasyonu teşvik ederek, bu araçlar yeni bir bilgisayar enfeksiyonu dalgasını körükleyebilir, siber güvenlik uzmanları için zorluklar yaratabilir ve işletmeler ve bireyler için genel riski artırabilir."

Son Durum

Siber güvenlik şirketi Qualys, kullanıcıları Windows'taki Çalıştır iletişim kutusunu kullanarak Base64 kodlu bir PowerShell komut dosyasını kopyalamaları ve yürütmeleri için kandırmak için sahte web sitelerinde CAPTCHA doğrulama tuzaklarından yararlanan yeni bir ClickFix kampanyasını ayrıntılı olarak açıkladı.

PowerShell betiği, uzak bir yükü alacak şekilde yapılandırılmıştır ve bu da algılamadan kaçınmak için işlem oyması olarak bilinen bir teknik aracılığıyla Lumma Stealer'ı indirmek ve çalıştırmak için başka bir PowerShell betiği yürütür.

Qualys araştırmacısı Vishwajeet Kumar, "Lumma Stealer'a yönelik soruşturma, kötü amaçlı yazılımın uyum sağlama ve algılamadan kaçınma yeteneği ile karakterize edilen gelişen bir tehdit ortamını ortaya koyuyor" dedi. "Meşru yazılımlardan yararlanmaktan aldatıcı dağıtım yöntemlerini kullanmaya kadar çeşitli taktikler kullanıyor ve bu da onu güvenlik ekipleri için kalıcı bir zorluk haline getiriyor."

GoDaddy ve Sucuri yan kuruluşu, bu ClickFix kampanyalarının, aldatıcı tarayıcı düzeltme açılır mesajları göndermek için kötü amaçlı eklentiler (örneğin, Gelişmiş Kullanıcı Yöneticisi, Hızlı Önbellek Temizleyici ve universal-popup-plugin-v133) kullanan WordPress sitelerini hedeflediği konusunda da uyardı.

Güvenlik araştırmacısı Puja Srivastava, "Açılır pencere, kullanıcıya Nasıl Düzeltilir etiketli sahte bir düğmeye tıklayarak 'kök sertifikayı yüklemesi' talimatını veriyor" dedi. "Bu düğmeye tıkladığınızda, PowerShell'de kötü amaçlı komutları çalıştırmak için ayrıntılı talimatlar içeren yeni bir açılır pencere belirir."

"Bu PowerShell komut dosyasını bilmeden yürüten kullanıcılar, veri hırsızlığı, makinenin uzaktan kontrolü ve/veya daha fazla istismar gibi ciddi sonuçlara yol açabilecek bir truva atı indirip çalıştırıyor."

6.000'den fazla WordPress sitesine bugüne kadar bu şekilde virüs bulaştığı tahmin ediliyor ve tehdit aktörleri, hileli eklentileri yüklemek için çalınan yönetici kimlik bilgilerinden yararlanıyor. Adlandırma kurallarındaki ve meta verilerdeki tutarlılık nedeniyle eklentileri oluşturmak için bir miktar otomasyon olduğunu gösteren kanıtlar vardır.

Denis Sinegubko, "Eklentiler yüklendikten sonra, kötü amaçlı yükler elde etmek için blok zinciri ve akıllı sözleşmeler kullanan sahte tarayıcı güncelleme kötü amaçlı yazılımlarının bilinen bir varyasyonunu içeren kötü amaçlı JavaScript'i enjekte ediyor" dedi. "Tarayıcıda yürütüldüğünde JavaScript, kullanıcılara bilgisayarlarına kötü amaçlı yazılım yüklemeleri için rehberlik eden sahte tarayıcı güncelleme bildirimleri sunar."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.