YENİArtık Haberler yazılarını dinleyebilirsiniz!
Siber suçlular, her gün kullandığınız yazılımlara uyum sağlama konusunda giderek daha iyi hale geliyor.
Geçtiğimiz birkaç yılda, bankacılık portallarını kopyalayan kimlik avı sayfaları, cihazınıza virüs bulaştığını iddia eden sahte tarayıcı uyarıları ve sizi asla dokunmamanız gereken komutları çalıştırmaya zorlayan “insan doğrulama” ekranları gördük. En son değişiklik devam eden ClickFix kampanyasından geliyor.
Saldırganlar artık sizden insan olduğunuzu kanıtlamanızı istemek yerine kendilerini bir Windows güncellemesi olarak gizlemektedir. Talimatları düşünmeden takip edebilecek kadar ikna edici görünüyor ki tam da onların istediği şey bu.
ÜCRETSİZ CyberGuy Raporum için kaydolun
En iyi teknik ipuçlarımı, acil güvenlik uyarılarımı ve özel fırsatlarımı doğrudan gelen kutunuza alın. Ayrıca, Nihai Dolandırıcılık Hayatta Kalma Rehberime anında erişebileceksiniz — bana katıldığınızda ücretsiz CYBERGUY.COM bülten.
YENİ DOLANDIRICILIK SAHTE MICROSOFT 365 GİRİŞ SAYFALARI GÖNDERİYOR
Kötü amaçlı yazılım, geleneksel güvenlik araçlarını atlatmak için steganografiyi kullanarak görünüşte normal görüntü dosyalarının içine gizlenir. (Microsoft)
Sahte güncelleme nasıl çalışır?
Araştırmacılar, ClickFix'in eski numarasını yükselttiğini fark etti. Kampanya eskiden insan doğrulama sayfalarına dayanıyordu, ancak artık gerçeğiyle neredeyse aynı görünen tam ekran bir Windows güncelleme ekranıyla karşılaşıyorsunuz. Joe Security, sayfanın sahte ilerleme çubuklarını, tanıdık güncelleme mesajlarını ve kritik bir güvenlik güncellemesini tamamlamanızı söyleyen bir istemi nasıl görüntülediğini gösterdi.
Windows kullanıyorsanız site size Çalıştır kutusunu açmanızı, panonuzdan bir şey kopyalayıp yapıştırmanızı söyler. Bu “bir şey”, kötü amaçlı yazılım damlatıcısını sessizce indiren bir komuttur. Son yük genellikle makinenizden şifreleri, çerezleri ve diğer verileri çalan bir bilgi hırsızıdır.
YENİ E-POSTA DOLANDIRICILIĞI, FİLTRELERİ GEÇTİRMEK İÇİN GİZLİ KARAKTERLER KULLANIYOR
Saldırganlar Windows'u neredeyse mükemmel bir hassasiyetle taklit ettikçe sahte güncelleme ekranlarının tespit edilmesi zorlaşıyor. (Joe Güvenlik)
Komutu yapıştırdığınız anda enfeksiyon zinciri başlar. İlk olarak, mshta.exe adlı bir dosya uzaktaki bir sunucuya ulaşır ve bir komut dosyasını alır. Algılanmayı önlemek amacıyla, bu URL'ler genellikle adresin bazı bölümleri için onaltılık kodlama kullanır ve yollarını döndürür. Komut dosyası daha sonra araştırmacıları şaşırtmak için gereksiz talimatlarla dolu karmaşık PowerShell kodunu çalıştırır. PowerShell işini yaptıktan sonra, yükleyici olarak işlev gören gizli bir .NET derlemesinin şifresini çözer.
Bu saldırıyı tespit etmek neden bu kadar zor?
Yükleyici bir sonraki aşamasını normal bir PNG dosyasına benzeyen bir dosyanın içine gizler. ClickFix, gizli verileri normal görünen içeriğin içine gizleyen bir teknik olan özel steganografiyi kullanır. Bu durumda, kötü amaçlı yazılım görüntünün piksel verilerinin içinde bulunur. Saldırganlar, kabuk kodu parçalarını gömmek için belirli piksellerdeki, özellikle kırmızı kanaldaki renk değerlerini değiştiriyor. Görüntüye baktığınızda her şey normal görünüyor.
Betik, gizli verilerin tam olarak nerede bulunduğunu bilir. Piksel değerlerini çıkarır, şifrelerini çözer ve kötü amaçlı yazılımı doğrudan bellekte yeniden oluşturur. Bu, diske bariz hiçbir şeyin yazılmadığı anlamına gelir. Kabuk kodu hiçbir zaman bağımsız bir dosya olarak görünmediğinden, dosya taramasına dayanan güvenlik araçları bunu gözden kaçırır.
Yeniden oluşturulduktan sonra kabuk kodu explorer.exe gibi güvenilir bir Windows işlemine enjekte edilir. Saldırıda VirtualAllocEx, WriteProcessMemory ve CreateRemoteThread gibi tanıdık bellek içi teknikler kullanılıyor. Son ClickFix etkinliği, LummaC2 gibi bilgi hırsızlarının ve Rhadamanthys'in güncellenmiş sürümlerinin ortaya çıkmasına neden oldu. Bu araçlar, kimlik bilgilerini toplamak ve bunları çok az gürültüyle saldırgana geri göndermek için tasarlanmıştır.
Gizli kod güvenilir bir Windows işlemine yüklendikten sonra bilgi hırsızları sessizce verilerinizi toplamaya başlar. (Kurt “CyberGuy” Knutsson)
Kendinizi ClickFix kampanyasından korumak için atabileceğiniz 7 adım
Korunmanın en iyi yolu bir anlığına yavaşlamak ve bu saldırıları daha başlamadan durduracak birkaç adımı takip etmektir.
1) Asla istemediğiniz komutları çalıştırmayın
Herhangi bir site size Çalıştır'a, PowerShell'e veya Terminal'e bir komut yapıştırmanızı söylerse bunu acil bir uyarı işareti olarak değerlendirin. Gerçek işletim sistemi güncellemeleri hiçbir zaman bir web sayfasından komut çalıştırmanızı gerektirmez. Bu komutu çalıştırdığınızda tüm kontrolü saldırgana verirsiniz. Bir şeyler ters gidiyorsa sayfayı kapatın ve daha fazla etkileşimde bulunmayın.
2) Windows güncellemelerini Windows'un içinde tutun
Güncellemeler yalnızca Windows Ayarları uygulamasından veya resmi sistem bildirimleri yoluyla gelmelidir. Windows güncellemesi gibi görünen bir tarayıcı sekmesi veya açılır penceresi her zaman sahtedir. Normal güncelleme akışının dışında eyleminizi isteyen herhangi bir şey görürseniz, bunu göz ardı edin ve gerçek Windows Güncelleme sayfasını kendiniz kontrol edin.
3) Saygın bir antivirüs kullanın
Hem dosya tabanlı hem de bellek içi tehditleri algılayabilen bir güvenlik paketi seçin. ClickFix gibi gizli saldırılar, tarayıcıların alabileceği açık dosyalar bırakmayı önler. Davranış tespiti, korumalı alan oluşturma ve komut dosyası izleme özelliklerine sahip araçlar, olağandışı etkinlikleri erken tespit etme şansınızı artırır.
Kötü amaçlı yazılım yükleyen ve potansiyel olarak özel bilgilerinize erişen kötü amaçlı bağlantılardan kendinizi korumanın en iyi yolu, tüm cihazlarınızda güçlü bir virüsten koruma yazılımının yüklü olmasıdır. Bu koruma aynı zamanda kimlik avı e-postalarına ve fidye yazılımı dolandırıcılıklarına karşı sizi uyararak kişisel bilgilerinizi ve dijital varlıklarınızı güvende tutar.
Windows, Mac, Android ve iOS cihazlarınız için 2025'in en iyi antivirüs koruması kazananları için seçtiklerimi şu adresten edinin: Cyberguy.com.
4) Bir şifre yöneticisi kullanın
Parola yöneticileri, kullandığınız her hesap için güçlü, benzersiz parolalar oluşturur. Ayrıca yalnızca meşru web sitelerinde otomatik olarak doldururlar; bu da sahte giriş sayfalarını yakalamanıza yardımcı olur. Bir yönetici kimlik bilgilerinizi doldurmayı reddederse manuel olarak herhangi bir şey girmeden önce URL'ye ikinci kez bakın.
Daha sonra, e-postanızın geçmişteki ihlallere maruz kalıp kalmadığına bakın. 1 numaralı şifre yöneticisi seçimimiz, e-posta adresinizin veya şifrelerinizin bilinen sızıntılarda görünüp görünmediğini kontrol eden yerleşik bir ihlal tarayıcısı içerir. Bir eşleşme bulursanız, yeniden kullanılan şifreleri hemen değiştirin ve bu hesapları yeni, benzersiz kimlik bilgileriyle güvence altına alın.
2025'in uzman incelemesinden geçmiş en iyi şifre yöneticilerine şu adresten göz atın: Cyberguy.com.
5) Kişisel veri kaldırma hizmetini kullanın
Çoğu saldırı, halihazırda çevrimiçi ortamda açığa çıkan e-postaları ve kişisel ayrıntıları hedef alarak başlar. Veri kaldırma hizmetleri, bilgilerinizi toplayan ve satan veri komisyoncu sitelerinden yayından kaldırma talebinde bulunarak dijital ayak izinizi küçültmenize yardımcı olur. Her şeyi silemezler ancak maruz kalma durumunuzu azaltmak, daha az saldırganın bilgilerinize kolayca erişebileceği anlamına gelir.
Hiçbir hizmet verilerinizin internetten tamamen kaldırılmasını garanti edemezken, veri kaldırma hizmeti gerçekten akıllıca bir seçimdir. Ucuz değiller ve gizliliğiniz de değil. Bu hizmetler, kişisel bilgilerinizi yüzlerce web sitesinden aktif olarak izleyerek ve sistematik olarak silerek tüm işi sizin için yapar. Bana gönül rahatlığı veren şey bu ve kişisel verilerinizi internetten silmenin en etkili yolu olduğu kanıtlandı. Mevcut bilgileri sınırlayarak, dolandırıcıların ihlallerden elde edilen verilerle karanlık ağda bulabilecekleri bilgileri çapraz referanslama riskini azaltır ve sizi hedeflemelerini zorlaştırırsınız.
Veri kaldırma hizmetleri için en iyi seçimlerime göz atın ve şu adresi ziyaret ederek kişisel bilgilerinizin zaten internette bulunup bulunmadığını öğrenmek için ücretsiz bir tarama yapın: Cyberguy.com.
Kişisel bilgilerinizin halihazırda internette bulunup bulunmadığını öğrenmek için ücretsiz taramadan yararlanın: Cyberguy.com.
6) Herhangi bir şeye güvenmeden önce URL'leri kontrol edin
İkna edici bir düzen meşru olduğu anlamına gelmez. Her zaman önce alan adına bakın. Resmi siteyle eşleşmiyorsa veya tuhaf yazım ya da ekstra karakterler kullanıyorsa kapatın. Saldırganlar, insanların bir sayfanın tasarımını tanıdığı ancak adres çubuğunu görmezden geldiği gerçeğine güvenir.
7) Şüpheli tam ekran sayfaları kapatın
Sahte güncelleme sayfaları, tarayıcı arayüzünü gizlemek ve sayfanın bilgisayarınızın bir parçası gibi görünmesini sağlamak için genellikle tam ekran modunda çalışır. Bir site izniniz olmadan aniden tam ekrana geçerse Esc veya Alt+Tab tuşlarıyla çıkın. Dışarı çıktığınızda sisteminizi tarayın ve o sayfaya geri dönmeyin.
Kurt'un önemli çıkarımı
ClickFix, kullanıcı etkileşimine dayandığı için çalışır. Ekrandaki talimatları izlemediğiniz sürece hiçbir şey olmuyor. Bu, sahte Windows güncelleme sayfasını özellikle tehlikeli hale getiriyor çünkü çoğu insanın güvendiği bir şeyden yararlanıyor. Windows güncellemelerinin ekranınızı dondurmasına alışkınsanız, işlem sırasında görüntülenen istemi sorgulamayabilirsiniz. Siber suçlular bunu biliyor. Korumanızı azaltmak için güvenilir arayüzleri kopyalarlar ve ardından son komutu çalıştırmanız için size güvenirler. Aşağıdaki teknik püf noktaları karmaşıktır ancak başlangıç noktası basittir. Onlara yardım etmene ihtiyaçları var.
Bir web sitesinden komutları ne yaptıklarını iki kez düşünmeden kopyaladığınız oldu mu? Bize yazarak bize bildirin. Cyberguy.com.
FOX HABER UYGULAMASINI İNDİRMEK İÇİN TIKLAYIN
ÜCRETSİZ CyberGuy Raporum için kaydolun
En iyi teknik ipuçlarımı, acil güvenlik uyarılarımı ve özel fırsatlarımı doğrudan gelen kutunuza alın. Ayrıca, Nihai Dolandırıcılık Hayatta Kalma Rehberime anında erişebileceksiniz — bana katıldığınızda ücretsiz CYBERGUY.COM bülten.
Telif hakkı 2025 CyberGuy.com'a aittir. Her hakkı saklıdır.
Bir yanıt yazın