Microsoft, Şubat 2026'da gözlemlenen bir ClickFix kampanyası konusunda uyarıyor. Bu, potansiyel kurbanların Windows terminalinde kötü amaçlı komutlar yürütmesine dayanıyor.
Duyurudan sonra devamını okuyun
Bu, Bluesky'deki Microsoft Tehdit İstihbaratı ekibi tarafından rapor edilmiştir. Sonuç olarak bu, olağan Windows tuşu + “R” (Windows “Çalıştır” iletişim kutusunu açar) işlemi yerine Windows terminalinin Şubat 2026'da başlatılmasına dayanan, daha sonra kötü amaçlı komutu kopyalayan ve sonunda çalıştıran yaygın bir ClickFix kampanyasıdır.
Windows terminalinde kötü amaçlı kod
Kampanyada suçlular, potansiyel kurbanlara Windows tuşu + “X”e basıp ardından “I”yi seçmeleri talimatını veriyor. Bu, Windows terminalini başlatır (Microsoft'un iddia ettiği gibi, en azından Alman Windows sistemlerinde “a” tuşunda bulunan yönetici haklarına sahip sürüm olmasa da). Genellikle yönetim görevleri için de kullanılan terminalde PowerShell ortamı mevcuttur.
Bu yaklaşım, Çalıştır iletişim kutusunun kötüye kullanılması için özel olarak tasarlanmış algılamaları göz ardı eder. Aynı zamanda Windows terminalinin tanıdık ortamından da yararlanır. Terminal başlatıldığında saldırganlar kurbanlara kötü amaçlı PowerShell komutlarını yürütme talimatı veriyor. Komutları sahte CAPTCHA sayfalarını kullanarak, sözde problem çözme talepleri veya yaygın doğrulama mekanizmalarına benzeyen tuzaklar aracılığıyla iletirler.
Microsoft BT araştırmacıları, ilk komutun onaltılık sistemle kodlandığını ve “XOR sıkıştırıldığını” açıklıyor. Katıştırılmış onaltılık komutların kodunu çözmek için kullanılan PowerShell ile ek Windows terminallerini açar. Sıkıştırılmış dosyaları açan ve çok aşamalı bir saldırı zincirini başlatan, 7-Zip olarak yeniden adlandırılan meşru bir ikili dosya indiriyorlar. Buna ek yürütülebilir dosyalar, zamanlanmış görevler, Microsoft Defender için istisnalar ve son olarak çalınan makine ve ağ bilgilerinin kaldırılması dahildir. Son olarak saldırı, kendisini Chrome ve Edge tarayıcılarının işlemlerine bağlayan ve web ve oturum açma verilerinin yanı sıra kayıtlı oturum açma verilerini arayıp bunları saldırganların sunucularına gönderen Lumma Stealer'ın yüklenmesine yol açar. İkinci bir varyant ise blockchain'in komuta ve kontrol sunucusu olarak ve siber saldırıyı gizlemek için kullanıldığı “EtherHiding” tekniğini kullanıyor.
Şubat ortasında Microsoft'taki siber güvenlik araştırmacıları, saldırganların DNS yanıtlarına güvendiği bir ClickFix çeşidini gözlemledi. Çevrimiçi ad çözümleme taleplerine verilen bu yanıtlarda, kötü amaçlı yazılımın yüklenmesine yol açan kötü amaçlı kod gizlendi.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın