Microsoft, Şubat 2026'da gözlemlenen bir ClickFix kampanyası konusunda uyarıyor. Bu, potansiyel kurbanların Windows terminalinde kötü amaçlı komutlar yürütmesine dayanıyor.
Reklamdan sonra devamını okuyun
Bu, Bluesky'deki Microsoft Tehdit İstihbaratı ekibi tarafından rapor edilmiştir. Buna göre, olağan Windows tuşu + “R” (Windows “Çalıştır” iletişim kutusunu açar) işlemi yerine Windows terminalini Şubat 2026'da başlatmaya, ardından kötü amaçlı komutu kopyalayıp son olarak çalıştırmaya dayanan yaygın bir ClickFix kampanyasıdır.
Windows Terminalindeki kötü amaçlı kod
Kampanyada failler, potansiyel kurbanlara Windows tuşu + “X”e basıp ardından “I”yi seçmeleri talimatını veriyor. Bu, Windows terminalini başlatır (Microsoft'un belirttiği gibi, en azından Alman Windows sistemlerinde “a” anahtarında bulunan yönetici haklarına sahip sürüm olmasa da). Genellikle yönetim görevleri için de kullanılan terminalde PowerShell ortamı mevcuttur.
Bu yaklaşım, Çalıştır iletişim kutusunun kötüye kullanılması için özel olarak tasarlanmış algılamaları atlar. Aynı zamanda Windows terminalinin tanıdık ortamından da yararlanır. Terminal başlatıldığında, failler kurbanlara kötü amaçlı PowerShell komutlarını yürütmeleri talimatını veriyor. Komutları sahte CAPTCHA sayfalarını kullanarak veya sorun çözümüne yönelik olduğu iddia edilen istemler yoluyla veya yaygın doğrulama mekanizmalarını hatırlatan yem yoluyla iletirler.
Microsoft'un BT araştırmacıları, ilk komutun hex kodlu ve “XOR sıkıştırılmış” olduğunu açıklıyor. Gömülü hex komutlarının kodunu çözmek için kullanılan PowerShell ile ek Windows terminallerini açar. Çok aşamalı bir saldırı zincirini açan ve başlatan meşru, yeniden adlandırılmış 7-Zip ikili dosyasını indiriyorlar. Buna ek yürütülebilir dosyalar, zamanlanmış görevler, Microsoft Defender için istisnalar ve son olarak çalınan makine ve ağ bilgilerinin kaldırılması dahildir. Son olarak saldırı, Chrome ve Edge web tarayıcısı işlemlerine bağlanan ve web ve oturum açma verilerinin yanı sıra kayıtlı erişim verilerini arayan ve bunları faillerin sunucularına gönderen Lumma Stealer'ın yüklenmesiyle sonuçlanır. İkinci bir varyant ise blockchain'in komuta ve kontrol sunucusu olarak ve siber saldırıyı gizlemek için kullanıldığı “EtherHiding” tekniğini kullanıyor.
Şubat ortasında, Microsoft'un BT güvenlik araştırmacıları, saldırganların DNS yanıtlarına güvendiği bir ClickFix varyantını gözlemledi. Çevrimiçi ad çözümleme taleplerine verilen bu yanıtlarda, kötü amaçlı yazılım kurulumuna yol açan kötü amaçlı kodu gizlediler.
Reklamdan sonra devamını okuyun
(dmk)
Bir yanıt yazın