3.000 Canlı ClickFix Payload’u İncelendi: API Tabanlı Malware Dağıtımında Yeni Yöntemler

Anasayfa » 3.000 Canlı ClickFix Payload’u İncelendi: API Tabanlı Malware Dağıtımında Yeni Yöntemler
3.000 Canlı ClickFix Payload’u İncelendi: API Tabanlı Malware Dağıtımında Yeni Yöntemler

ClickFix, kullanıcıları kötü amaçlı yazılımı manuel olarak çalıştırmaya ikna eden bir tuzak olarak biliniyor. Ancak son araştırmalar, bu yöntemin arka planda sessizce gelişen karmaşık bir altyapıya sahip olduğunu ortaya koyuyor. Artık sahte “insan olduğunuzu kanıtlayın” sayfalarının arkasındaki kötü niyetli komutlar, API destekli sunucular tarafından ziyaretçilere farklı kılıflarda aynı zararlıyı sunacak şekilde dinamik olarak dağıtılıyor.

API Destekli Payload Üretimi

Siber güvenlik araştırmacısı Bert-Jan Pals, ClickFix platformlarını ve yaklaşık 3.000 canlı payload’u detaylı şekilde inceledi. Pals’ın bulguları, zararlı komutların arka uçta istek bazlı çalışan, erişim token’ı kontrol eden ve her defasında farklı bir şifreleme katmanı (Base64, AES, TripleDES, Rijndael, Deflate) uygulayarak taze komutlar gönderen sunucular tarafından üretildiğini gösteriyor. Şifre çözüldüğünde ise komut, PowerShell ortamında bellek içinde çalışan bir betik olarak açığa çıkıyor. Bu yöntem, saldırının algılanmasını zorlaştırıyor çünkü kullanıcıya sunulan kılıf sürekli değişiyor ve geleneksel antivirüslerin işaretlemesi zorlaşıyor.

Gizli Dosya İndirme ve AMSI Atlatma

Gözlemler, yeni ClickFix varyantlarının kopyalanan komutları doğrudan kötü amaçlı değil, dosya indiren ve ardından o dosyayı çalıştıran ‘orchestrator’ komutları olarak değiştirdiğini gösteriyor. Sayfa arka planda, indirme klasörüne zararlı içeriği indiriyor. Kopyalanan kısa PowerShell komutu ise bu dosyayı taşıyor, açıyor ve içindeki scripti AMSI (Windows Antimalware Scan Interface) taramasından kaçırarak çalıştırıyor. Bu yöntemle, zararlı kod doğrudan panoya kopyalanmadığı için birçok güvenlik çözümü tarafından fark edilmesi zorlaşıyor.

Komut Satırında Gizlilik Artıyor

Başlangıçta kullanıcılar Windows+R tuş kombinasyonuyla Çalıştır kutusuna komut yapıştırmaya yönlendirilirken, yeni varyantlar Windows Terminal’i tercih ediyor. Terminal kullanımı daha sıradan gözüküyor ve ayrıca Çalıştır geçmişini tutan RunMRU kayıtlarına iz bırakmıyor. Bu değişiklik, saldırının tespiti ve analizini zorlaştırıyor.

Hedef Kitle ve Saldırgan Profili

ClickFix, uzun zamandır sadece siber suçluların değil, devlet destekli APT gruplarının da kullandığı bir araç haline geldi. Rusya, İran ve Kuzey Kore kaynaklı bazı tehdit aktörlerinin ClickFix’i kendi enfeksiyon zincirlerine entegre ettikleri, hatta Kuzey Koreli grupların kripto para çalışanlarını hedefleyen sahte iş görüşmesi temalı varyantlar geliştirdiği tespit edildi. Ayrıca, ClickFix’in türevleri olan FileFix ve DownloadFix gibi benzer araçların da yaygınlaştığı, bu yöntemlerin Windows’un yerleşik araçlarını kötüye kullandığı bildirildi.

Siber Güvenlik Ekiplerine Tavsiyeler

Analizler, panoya kopyalanan komutlardan ziyade işlem zincirlerinin takip edilmesinin daha etkili olduğunu gösteriyor. Özellikle explorer.exe veya WindowsTerminal.exe süreçlerinin, powershell.exe, cmd.exe veya msiexec.exe gibi komut yorumlayıcılarını başlatması ve hemen ardından ağ erişimi sağlaması kritik bir gösterge. Bu davranışları izleyen davranışsal EDR çözümleri, uygulama kontrolü kuralları ve kullanıcıların bilinçlendirilmesi (örneğin “Çalıştır kutusuna veya terminale size verilen komutları yapıştırmayın”) hâlâ etkili savunma yöntemleri olarak öne çıkıyor.

Yeni Downloads klasörü yöntemi, dosya sisteminde görünmeyen gizli PowerShell oturumları oluşturduğu için, indirme klasörü aktivitelerini ve bu klasöre erişen süreçleri izlemek artık kritik hale geldi. Araştırmada tespit edilen üç ana payload sunucusu adresi şunlar: comicstar[.]lat, babybon[.]cfd ve merkantalolol[.]asia. Bu adreslere bağlantı tek başına enfeksiyon anlamına gelmese de, panoya zararlı komut yerleştirildiğinin güçlü bir göstergesi.

Teknik Özet: ClickFix ve Saldırı Zinciri

  • Payload’lar API üzerinden dinamik olarak istek üzerine üretiliyor.
  • Şifreleme yöntemleriyle sürekli kılıf değiştiriliyor, ancak temel script aynı kalıyor.
  • Kullanıcılar Windows Terminal veya Çalıştır kutusunu kullanarak komutları manuel çalıştırmaya zorlanıyor.
  • Yeni yöntemler AMSI’yı atlatmak için dosya sisteminde indirme yapıyor ve oradan çalıştırıyor.
  • APT grupları ve organize suç örgütleri tarafından yaygın biçimde kullanılıyor.

Güvenlik Uzmanları İçin Öneriler

  • EDR çözümlerinde powershell.exe, cmd.exe ve msiexec.exe süreçlerinin başlatılma ve ağ erişim davranışları sıkı şekilde izlenmeli.
  • Uygulama kontrol politikalarıyla kimlerin script yorumlayıcılarını kullanabileceği sınırlandırılmalı.
  • Downloads klasörü ve geçici dosya hareketleri düzenli olarak denetlenmeli.
  • Kullanıcı eğitimleri ile bilinçlendirme artırılmalı; özellikle tanımadıkları kaynaklardan verilen komutların manuel yapıştırılmaması öğretilmeli.
  • E-posta güvenliği ve ağ segmentasyonu gibi çok katmanlı savunma yaklaşımları desteklenmeli.

ClickFix’in hızlı evrimi, saldırganların yakalanma riskini azaltmak için teknik altyapıyı sürekli geliştirdiğini gösteriyor. Sadece kılıf değiştirmekle kalmayıp, artık payload’ların da kişiye özel varyantlarla değişebileceği belirtiliyor. Bu da güvenlik ekiplerinin sürekli güncel kalmasını ve saldırı göstergelerini dinamik şekilde takip etmesini zorunlu kılıyor.