DNS Tabanlı ClickFix Saldırıları ve Lumma Stealer Kampanyalarındaki Yeni Gelişmeler

Anasayfa » DNS Tabanlı ClickFix Saldırıları ve Lumma Stealer Kampanyalarındaki Yeni Gelişmeler
APT, Sosyal Mühendislik, Zararlı Yazılım
Şubat 19, 2026Şubat 19, 2026Tarafından Cybernews.TR
0
DNS Tabanlı ClickFix Saldırıları ve Lumma Stealer Kampanyalarındaki Yeni Gelişmeler

Microsoft, ClickFix adlı sosyal mühendislik taktiğinin DNS tabanlı yeni bir varyantını ortaya koydu. Bu saldırı, Windows işletim sistemlerinde “nslookup” komutunu kullanarak DNS sorguları üzerinden ikinci aşama kötü amaçlı yazılım yüklerinin indirilmesini sağlıyor. Saldırganlar, kullanıcıları sahte CAPTCHA doğrulama sayfaları veya sorun giderme talimatlarıyla kandırarak zararlı komutları çalıştırmaya zorluyor.

Saldırı Zinciri ve Teknik Detaylar

ClickFix saldırı zinciri şu adımlardan oluşuyor:

  • Kullanıcı, sosyal mühendislik yoluyla Windows Çalıştır penceresinde “nslookup” komutunu çalıştırmaya ikna edilir.
  • Bu komut, sabit kodlanmış harici bir DNS sunucusuna sorgu gönderir ve DNS yanıtından ikinci aşama yükü çıkarılır.
  • İndirilen ZIP arşivi, kötü amaçlı Python betiği ve Visual Basic Script (VBScript) dosyalarını içerir.
  • VBScript, Windows Başlangıç klasörüne LNK dosyası yerleştirerek kalıcılık sağlar.
  • Python betiği keşif yapar ve ModeloRAT adlı Python tabanlı uzaktan erişim trojanını başlatır.

Bu teknik, geleneksel web isteklerine olan bağımlılığı azaltarak ağ trafiğinde gizlenmeyi kolaylaştırıyor. Ayrıca, CastleLoader ve RenEngine Loader gibi yükleyicilerle birlikte Lumma Stealer gibi bilgi hırsızları dağıtılıyor.

Hangi Sistemler Risk Altında?

ClickFix saldırıları hem Windows hem de macOS platformlarını hedef alıyor. macOS tarafında, kripto para cüzdanlarını hedefleyen Odyssey Stealer, Atomic Stealer ve MacSync Stealer gibi zararlılar yaygınlaşıyor. Bu saldırılar, Gatekeeper korumasını aşmak için geçerli Apple geliştirici sertifikaları kullanıyor. Lumma Stealer enfeksiyonları ise özellikle Hindistan, Fransa, ABD, Almanya ve Brezilya gibi ülkelerde yoğunlaşıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • EDR ve SIEM sistemlerinde DNS sorgularını ve “nslookup” komut kullanımını anormal davranışlar açısından izleyin.
  • Windows Başlangıç klasörüne yerleştirilen şüpheli LNK dosyalarını düzenli olarak tarayın.
  • Phishing ve e-posta güvenliği politikalarını güçlendirerek sosyal mühendislik saldırılarını azaltın.
  • DNS trafiğini segmentlere ayırarak zararlı sorguların tespiti ve engellenmesini kolaylaştırın.
  • PowerShell ve CMD komutlarının kullanımını kısıtlayarak yetkisiz kod çalıştırmayı önleyin.
  • Yama yönetimi süreçlerini güncel tutarak bilinen zafiyetlerin istismarını engelleyin.
  • Zero Trust mimarisi uygulayarak kullanıcı ve cihaz erişimlerini sıkı kontrol altında tutun.
  • Olay müdahale planlarınızı ClickFix ve benzeri sosyal mühendislik saldırılarına göre güncelleyin.

Teknik Özet

  • Kullanılan araçlar: nslookup, Python betikleri, VBScript, ModeloRAT, CastleLoader, RenEngine Loader, Lumma Stealer
  • Hedef platformlar: Windows, macOS
  • Saldırı vektörleri: Sosyal mühendislik, DNS tabanlı komut çalıştırma, sahte CAPTCHA sayfaları, e-posta oltalama
  • Önemli teknik detaylar: DNS sorguları üzerinden ikinci aşama yükü indirme, kalıcılık için LNK dosyası, Gatekeeper sertifika aşımı (macOS)
  • Önerilen savunma: DNS ve komut izleme, e-posta güvenliği, yama yönetimi, Zero Trust, EDR ve SIEM entegrasyonu

Bu gelişmeler, özellikle ağ segmentasyonu ve olay müdahale süreçlerinin önemini bir kez daha ortaya koyuyor. Kurumsal ortamlarda ClickFix benzeri sosyal mühendislik saldırılarına karşı çok katmanlı savunma stratejileri uygulanmalıdır.

, , , , , , ,