Görünüşte masum bir güvenlik testi, bilgisayarınıza zararlı yazılım bulaştırmak için tehlikeli bir araca dönüşebilir mi? Microsoft’un güvenlik ekiplerinin yayımladığı yeni rapor, tam da bunu yapan bir sosyal mühendislik tekniğine dikkat çekiyor.

ClickFix” olarak adlandırılan bu yöntem, kullanıcıyı kandırarak zararlı komutları bizzat kendisinin çalıştırmasını sağlıyor. Yöntemin en dikkat çekici yönü, klasik bir CAPTCHA ekranına benzemesi. Kullanıcıya motosiklet resimlerini seçmek ya da bir parçayı sürüklemek yerine, klavyesinden belirli tuşlara basması gerektiği söyleniyor. Bu tuşlar “Windows + R“, “Ctrl + V“, “Enter” gibi birçok kişinin aşina olduğu, “Çalıştır” penceresini açıp panodaki içeriği çalıştıran kısayollar. Kullanıcı bu adımları uyguladığında, aslında zararlı komutu kendi elleriyle sistemine yüklemiş oluyor.

Microsoft’un tehdit istihbarat ve güvenlik uzmanlarından oluşan ekipleri, bu saldırı biçiminin son bir yılda kayda değer şekilde yaygınlaştığını ve her gün binlerce cihazın hedef alındığını belirtiyor. ClickFix yöntemi yalnızca bireysel kullanıcıları değil, kurumsal ağları da etkiliyor. Yakın zamanda Booking.com kullanıcılarını hedef alan bir kimlik avı kampanyasında da bu teknik kullanıldı. Saldırganlar, otel işletmecilerine sahte şikayetler veya müşteri mesajları içeren e-postalar gönderdi. E-postalardaki bağlantılar, kullanıcıları sahte bir CAPTCHA sayfasına yönlendirdi.

Saldırılar neden fark edilemiyor?

ClickFix saldırıları, otomatik güvenlik sistemlerinden kolayca sıyrılabiliyor çünkü zararlı yazılım doğrudan sistem tarafından çalıştırılmıyor, kullanıcı tarafından tetikleniyor. Bu, saldırının teknik olarak “kendi kendini kandırma” yöntemiyle gerçekleştiği anlamına geliyor. Kullanıcının bir komutun ne işe yaradığını fark etmeden uygulaması, saldırganların işini kolaylaştırıyor.

Bu yöntemle yüklenen zararlı yazılımlar değişkenlik gösterebiliyor. En sık karşılaşılanlardan biri, Lumma Stealer adlı bilgi çalma aracı. Kredi kartı verilerinin ele geçirilmesinde sıkça kullanılan bu yazılım, milyonlarca dolarlık zarara neden olan dolandırıcılık vakalarına karışmış durumda. Lumma dışında, sistem kontrolünü ele geçiren Xworm, AsyncRAT, NetSupport, SectopRAT gibi uzaktan erişim Truva atları ve Latrodectus, MintsLoader gibi dosya yükleyiciler de kullanılıyor. Bazı saldırılarda ise sistemde gizlenmeye çalışan rootkit bileşenlerine rastlanıyor.

Microsoft’un raporunda ayrıca Portekiz’deki bazı kamu kurumlarının, ClickFix aracılığıyla Lampion isimli bir bilgi hırsızına hedef olduğu da belirtiliyor. Bu saldırılarda kullanılan e-postalar, kurbanları antivirüs taramasını geçen zararlı komutlara yönlendirdi. Ancak raporda, saldırganın yaptığı bir kodlama hatası nedeniyle bu girişimin sonuçsuz kaldığına dikkat çekiliyor.

Sadece sahte CAPTCHA ile sınırlı değil

ClickFix yalnızca sahte güvenlik testlerini taklit etmiyor. Microsoft’un aktardığına göre, bazen Google Chrome’un hata sayfaları, Word Online’da eksik eklenti uyarıları ya da Discord giriş ekranları gibi arayüzler de kullanılabiliyor. Amaç, kullanıcıya tanıdık gelen görsellerle güven yaratıp yönlendirme yapmak.

İlginç bir diğer detay da, bu saldırı tekniğinin macOS kullanıcılarına yönelik bir versiyonunun da keşfedilmiş olması. Saldırı, görünüşte Windows’a özel gibi davranıyor. Kullanıcıya Windows’ta çalışacak adımlar sunuluyor, ancak perde arkasında çalıştırılan komutlar macOS sistemine uygun şekilde tasarlanmış. Bu komutlar, kullanıcıdan kimlik bilgilerini topluyor, zararlı yazılım indiriyor ve sistem güvenlik ayarlarını devre dışı bırakıyor.

ClickFix, teknik olarak karmaşık bir saldırı değil; ancak başarısını insan davranışlarına dayanarak elde ediyor. Bu nedenle kullanıcıların tanımadıkları kişilerden gelen yönlendirmelere karşı dikkatli olması, bir pencere ya da ekran beklenmedik bir şekilde belirirse önce durup düşünmesi en temel korunma yöntemleri arasında yer alıyor.