Son bir yıl içinde siber suçlular, kullanıcıların farkında olmadan bilgisayarlarını ele geçirmek için yeni ve giderek yaygınlaşan bir yöntem kullanmaya başladı. Birçok potansiyel kurbanın henüz haberdar olmadığı bu yöntem, hızlı olması, çoğu güvenlik önlemini aşması ve hem macOS hem de Windows kullanıcılarını hedef alabilmesiyle dikkat çekiyor.
ClickFix saldırıları genellikle, hedef kişinin kayıt yaptırdığı bir otelden gönderilmiş gibi görünen ve doğru kayıt bilgilerini içeren bir e-posta ile başlar. Bazı durumlarda ise WhatsApp mesajları veya Google'da yapılan bir arama sonucunda çıkan ilk linkler aracılığıyla kullanıcıya ulaşır. Kullanıcı zararlı siteye eriştiğinde, bir CAPTCHA (robot olmadığınızı doğrulama) testi veya kullanıcı onayı gerektiren başka bir bahane ile karşılaşır. Ardından, bir metin dizesini kopyalayıp terminal penceresini açarak yapıştırması ve Enter'a basması istenir.
Tek Bir Satır Her Şeyi Değiştirebilir
Kullanıcı bu komutu girdiğinde, bilgisayar sessizce bir saldırgan kontrolündeki sunucuya bağlanır ve zararlı yazılımı indirir. Ardından, herhangi bir uyarı olmaksızın bilgisayara otomatik olarak yüklenir. Bu sayede, genellikle kimlik bilgilerini çalmaya yönelik zararlı yazılımlarla kullanıcılar enfekte olur. Güvenlik firmaları, ClickFix kampanyalarının hızla yayıldığını belirtiyor. Bu tekniğin yeterince bilinmemesi, linklerin bilinen adreslerden veya arama sonuçlarından gelmesi ve bazı güvenlik önlemlerini aşabilmesi, bu yöntemin büyüme nedenleri arasında yer alıyor.
Bir güvenlik firması tarafından yayınlanan bir raporda, macOS'u hedef alan zararlı yazılımları dağıtmak için kötü amaçlı reklamcılık ve tek satırlık kurulum komutu tekniğini kullanmanın, siber suçlular arasında popülerliğini koruduğu vurgulanıyor. Bu tür kampanyalar, yanıltıcı ve zararlı web sitelerini teşvik ederek daha fazla trafik çekmeyi ve potansiyel kurban sayısını artırmayı hedefliyor. Tek satırlık kurulum komutu, saldırganların, Gatekeeper gibi macOS güvenlik mekanizmalarını atlayarak zararlı yazılımı doğrudan kurbanın makinesine yüklemesine olanak tanıyor.
Bu kampanyalarda yüklenen ana zararlı yazılım, kimlik bilgisi hırsızlığı yapan bir türdür. Diğer yüklemeler arasında zararlı bir kripto para cüzdanı yazılımı, Mac'i botnet'in bir parçası haline getiren programlar ve makinenin her yeniden başlatıldığında zararlı yazılımın çalışmasına izin veren macOS yapılandırma değişiklikleri de yer alıyor.
Başka bir kampanyada ise Windows kullanıcıları hedef alındı. Saldırganlar öncelikle bir otelin online rezervasyon platformundaki hesabını ele geçiriyor. Bu hesaplardaki bilgilerden yararlanarak, bekleyen rezervasyonları olan kişilerle iletişime geçiyorlar. Bu durum, birçok kişinin rezervasyonlarının iptal edilmemesi endişesiyle talimatlara uymaya daha istekli olmasını sağlayarak güven yaratıyor.
Ardından, saldırganlar tarafından sunulan sahte bir CAPTCHA bildirimi, içerik dağıtım ağı Cloudflare tarafından kullanılan bildirimlere neredeyse birebir benziyor. Bu bildirimin arkasında gerçek bir insan olduğunu doğrulamak için istenen şey, bir metin dizesini kopyalayıp Windows terminaline yapıştırmak. Bu işlem sonucunda, makine zararlı yazılımla enfekte oluyor.
Öte yandan, bir başka ClickFix kampanyasında, kullanıcıların ziyaret ettiği cihaza göre uyum sağlayan bir sayfa rapor edildi. İşletim sistemine bağlı olarak, sayfa Windows veya macOS için farklı zararlı yazılımlar sunabiliyor. Bu zararlı yazılımların birçoğu, işletim sistemine yerleşik yetenekleri kullanan ve diskte herhangi bir zararlı dosya yazmayan bir teknikle çalışıyor. Bu durum, bilgisayarın güvenliğini sağlamakla görevli programların işini daha da zorlaştırıyor.
Zararlı komutlar, genellikle insanlar tarafından okunmasını zorlaştırmak için base-64 ile kodlanıyor ve çoğu zaman tarayıcıların izole edilmiş alanları içinde kopyalanıyor. Bu alanlar, cihazları zararlı yazılımlardan veya kötü amaçlı betiklerden korumak için tasarlanmıştır. Birçok güvenlik aracı, bu eylemleri potansiyel olarak zararlı olarak gözlemleyemiyor ve işaretleyemiyor.
Saldırıların etkili olmasının bir diğer nedeni ise farkındalık eksikliği. Yıllar içinde birçok kişi e-postalardaki veya mesajlaşma uygulamalarındaki linklere karşı şüpheci olmayı öğrendi. Ancak birçok kullanıcı, bir metin parçasını kopyalayıp daha önce görmedikleri bir pencereye yapıştırmalarını isteyen sitelere karşı aynı önlemi almıyor. Talimatlar güvenilir bir otelden gelen bir e-postayla veya Google arama sonuçlarının en üstünde geldiğinde, hedefler daha da gafil avlanabiliyor.
Özellikle tatil dönemlerinde ailelerin bir araya geldiği bu günlerde, ClickFix dolandırıcılıkları, güvenlik konusunda tavsiye isteyen aile üyelerine aktarılması gereken önemli bir konudur. Güvenlik yazılımları bu tür saldırılara karşı bazı savunmalar sunsa da, bazı durumlarda bu önlemler de aşılabiliyor. Bu nedenle, şu an için en etkili önlem farkındalıktır.
