Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kimlik avı ClearFake Saldırı Kampanyası

ClearFake Saldırı Kampanyası

Mezo'de Kimlik avı, Kötü amaçlı yazılım, Uzaktan Yönetim Araçları'de
Çevir:
Türkçe

ClearFake kampanyasının arkasındaki siber tehdit aktörleri, şüphelenmeyen kullanıcıları kötü amaçlı yazılım indirmeye kandırmak için sahte reCAPTCHA ve Cloudflare Turnstile doğrulamaları kullanıyor. Bu aldatıcı teknikler, Lumma Stealer ve Vidar Stealer gibi bilgi çalan kötü amaçlı yazılımları dağıtmak için kullanılıyor.

Sahte Tarayıcı Güncellemeleri Kötü Amaçlı Yazılım Tuzağı Olarak

İlk olarak Temmuz 2023'te tanımlanan ClearFake, kurbanları cezbetmek için sahte web tarayıcısı güncelleme istemleri kullanarak tehlikeye atılmış WordPress siteleri aracılığıyla yayılan kötü amaçlı bir kampanyadır. Bu yöntem, kötü amaçlı yazılımları verimli bir şekilde dağıtmak isteyen siber suçlular için tercih edilen bir teknik olmuştur.

Gizlilik ve Kalıcılık için EtherHiding’den Yararlanma

ClearFake'in enfeksiyon zincirinin önemli bir yönü, saldırganların Binance'in Akıllı Zincir (BSC) sözleşmelerini kullanarak bir sonraki aşama yükünü almalarına olanak tanıyan bir teknik olan EtherHiding'dir. Bu yaklaşım, merkezi olmayan blok zinciri teknolojisinden yararlanarak saldırının dayanıklılığını artırır ve tespit ve kaldırma çabalarını daha zor hale getirir.

ClickFix’in Ortaya Çıkışı: Bir Sosyal Mühendislik Oyunu

Mayıs 2024'e kadar ClearFake, var olmayan bir teknik sorunu düzeltme bahanesiyle kullanıcıları kötü amaçlı PowerShell kodunu yürütmeye kandırmak için tasarlanmış bir sosyal mühendislik hilesi olan ClickFix'i bünyesine katmıştı. Bu teknik, saldırganların kurbanın sistemi üzerinde daha fazla kontrol sahibi olmasına yardımcı olur.

ClearFake’in Son Varyantında Gelişmiş Web3 Yetenekleri

ClearFake kampanyasının son yinelemeleri EtherHiding ve ClickFix'i kullanmaya devam ediyor, ancak dikkate değer gelişmelerle. Bu güncellemeler şunları içerir:

  • Akıllı sözleşme Uygulama İkili Arayüzleri (ABI'ler) kullanılarak Binance Akıllı Zincir ile daha fazla etkileşim.
  • Mağdurların sistemlerinin parmak izlerinin geliştirilmesi, birden fazla JavaScript kodu ve kaynağının yüklenmesi.
  • Güvenlik analizinden kaçınmak için şifrelenmiş ClickFix HTML kodu.

Şifrelenmiş Yüklerle Çok Aşamalı Bir Saldırı

Bir kurban tehlikeye atılmış bir web sitesini ziyaret ettiğinde, saldırı birkaç aşamada gerçekleşir:

  • Sistem bilgilerini toplamak için Binance Akıllı Zincirinden JavaScript alınması.
  • Cloudflare Pages'den şifrelenmiş bir ClickFix betiği getiriliyor.
  • Kötü amaçlı bir PowerShell komutunun yürütülmesi, kötü amaçlı yazılımın dağıtımına yol açar.

Eğer kurban kötü amaçlı eylemi gerçekleştirirse, Emmenhtal Loader (diğer adıyla PEAKLIGHT) çalıştırılır ve bu da en sonunda sisteme Lumma Stealer'ı yükler.

Gelişen Taktikler: Büyük Ölçekli Bir Tehdit

Ocak 2025'e kadar, güvenlik araştırmacıları Vidar Stealer'ı yüklemek için PowerShell yükleyicilerini kullanan yeni ClearFake saldırı zincirlerini gözlemlediler. Geçtiğimiz ay itibarıyla en az 9.300 web sitesi tehlikeye atıldı.

Saldırganlar, ClearFake çerçevesini sürekli olarak günceller, yemlerini, betiklerini ve yüklerini günlük olarak değiştirir. Kötü amaçlı yazılım artık Binance Akıllı Zinciri içinde birden fazla önemli öğeyi depolar, bunlar arasında şunlar bulunur:

  • JavaScript kodu
  • AES şifreleme anahtarları
  • Kötü amaçlı yem dosyalarını barındıran URL'ler
  • ClickFix PowerShell komutları

Kitle Enfeksiyonları ve Yaygın Maruziyet

ClearFake enfeksiyonlarının ölçeği önemlidir ve dünya çapında çok sayıda kullanıcıyı etkilemektedir. Temmuz 2024'te, yaklaşık 200.000 benzersiz kullanıcı, kötü amaçlı yazılım indirmelerine neden olan ClearFake tuzaklarına maruz kalmıştır.

ClickFix Otomobil Bayiliği Web Sitelerini Tehlikeye Atıyor

ClickFix için önemli bir saldırı vektörü otomobil bayiliği web siteleri olmuştur. 100'den fazla bayilik sitesi tehlikeye atılmış ve SectopRAT kötü amaçlı yazılımı ClickFix cazibeleri aracılığıyla iletilmiştir.

Ancak bayilerin kendi web siteleri doğrudan enfekte edilmedi. Bunun yerine, tehlikeye atılma, tehlikeye atılmış JavaScript enjeksiyonunu bilmeden barındıran üçüncü taraf bir video hizmeti aracılığıyla gerçekleşti. Bu olay, üçüncü taraf hizmetlerdeki güvenlik açıklarının oluşturduğu riskleri vurgulayan bir tedarik zinciri saldırısı gibi görünüyor. Kötü amaçlı betik, o zamandan beri enfekte siteden kaldırıldı.

Son Düşünceler: Kalıcı ve Genişleyen Bir Tehdit

ClearFake kampanyası, gelişmiş blok zinciri tabanlı teknikler, sosyal mühendislik ve çok aşamalı enfeksiyon zincirlerinden yararlanarak gelişmeye devam ediyor. Binlerce tehlikeye atılmış site ve yüz binlerce potansiyel kurbanla etkisinin ölçeği, bu tür karmaşık kötü amaçlı yazılım tehditlerine karşı savunmak için güçlü siber güvenlik önlemlerine acil ihtiyaç olduğunu vurguluyor.

 

trend

Sagerunex Kötü Amaçlı Yazılım Çeşitleri

Gelişmiş Sürekli Tehdit (APT), Arka kapılar
Lotus Panda olarak bilinen kötü şöhretli tehdit aktörü, Filipinler, Vietnam, Hong Kong ve Tayvan'daki hükümet, üretim, telekomünikasyon ve medya sektörlerine siber saldırılar başlatırken gözlemlendi. Bu saldırılar, Lotus Panda'nın en az 2016'dan beri kullandığı bir kötü amaçlı yazılım türü olan Sagerunex arka kapısının güncellenmiş sürümlerini içeriyor. APT (Gelişmiş Kalıcı Tehdit) grubu, uzun...

Solvay - Yeni İş İlişkileri E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Dijital ortam fırsatlarla doludur—ama aynı zamanda tehlikelerle de. Siber suçlular taktiklerini sürekli olarak geliştirir, işletmeleri ve bireyleri avlayan karmaşık planlar tasarlar. Bu aldatıcı planlardan biri de hassas bilgileri ve finansal varlıkları toplamak için tasarlanmış bir kimlik avı kampanyası olan 'Solvay - New Business Relationships' e-posta dolandırıcılığıdır. Bu taktiğin nasıl...

En çok görüntülenen

Yükleniyor...