{"id":14359,"date":"2026-03-16T18:45:43","date_gmt":"2026-03-16T15:45:43","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=14359"},"modified":"2026-03-16T18:45:43","modified_gmt":"2026-03-16T15:45:43","slug":"clickfix-attack-variations","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/clickfix-attack-variations\/14359\/","title":{"rendered":"ClickFix’in varyasyonlar\u0131"},"content":{"rendered":"

Yakla\u015f\u0131k bir y\u0131l \u00f6nce, sald\u0131rganlar aras\u0131nda pop\u00fclerlik kazanan ClickFix tekni\u011fi hakk\u0131nda bir yaz\u0131<\/a> yay\u0131nlad\u0131k. ClickFix kullan\u0131larak yap\u0131lan sald\u0131r\u0131lar\u0131n \u00f6z\u00fc, \u00e7e\u015fitli bahanelerle kurban\u0131 bilgisayar\u0131nda k\u00f6t\u00fc ama\u00e7l\u0131 bir komut \u00e7al\u0131\u015ft\u0131rmaya ikna etmeye dayan\u0131r. Yani, siber g\u00fcvenlik \u00e7\u00f6z\u00fcmleri a\u00e7\u0131s\u0131ndan, aktif kullan\u0131c\u0131 ad\u0131na ve onun ayr\u0131cal\u0131klar\u0131yla \u00e7al\u0131\u015ft\u0131r\u0131l\u0131r.<\/p>\n

Bu tekni\u011fin ilk kullan\u0131mlar\u0131nda, siber su\u00e7lular kurbanlar\u0131 bir sorunu gidermek veya bir captcha\u2019y\u0131 ge\u00e7mek<\/a> i\u00e7in bir komut \u00e7al\u0131\u015ft\u0131rmalar\u0131 gerekti\u011fine ikna etmeye \u00e7al\u0131\u015fm\u0131\u015flard\u0131 ve \u00e7o\u011fu durumda k\u00f6t\u00fc ama\u00e7l\u0131 komut bir PowerShell komut dosyas\u0131yd\u0131. Ancak o zamandan beri, sald\u0131rganlar kullan\u0131c\u0131lar\u0131n dikkat etmesi gereken bir dizi yeni hile ve ayr\u0131ca g\u00f6z \u00f6n\u00fcnde bulundurulmas\u0131 gereken bir dizi yeni k\u00f6t\u00fc ama\u00e7l\u0131 y\u00fck teslim varyant\u0131 geli\u015ftirdiler.<\/p>\n

mshta.exe <\/em>kullan\u0131m\u0131<\/h2>\n

Ge\u00e7en y\u0131l, Microsoft uzmanlar\u0131 Booking.com ile \u00e7al\u0131\u015fan otel sahiplerini hedef alan siber sald\u0131r\u0131lar hakk\u0131nda bir rapor<\/a> yay\u0131nlad\u0131. Sald\u0131rganlar, hizmetten sahte bildirimler veya konuklardan gelmi\u015f gibi g\u00f6r\u00fcnen ve bir incelemeye dikkat \u00e7eken e-postalar g\u00f6nderdi. Her iki durumda da, e-posta Booking.com\u2019u taklit eden bir web sitesine ba\u011flant\u0131 i\u00e7eriyordu ve kurbandan \u00c7al\u0131\u015ft\u0131r men\u00fcs\u00fc arac\u0131l\u0131\u011f\u0131yla bir kod \u00e7al\u0131\u015ft\u0131rarak robot olmad\u0131\u011f\u0131n\u0131 kan\u0131tlamas\u0131n\u0131 istiyordu.<\/p>\n

Bu sald\u0131r\u0131 ile ClickFix aras\u0131nda iki temel fark vard\u0131r. \u0130lk olarak, kullan\u0131c\u0131dan dizgiyi kopyalamas\u0131 istenmez (sonu\u00e7ta, kod i\u00e7eren bir dizgi bazen \u015f\u00fcphe uyand\u0131rabilir). Bu kod, k\u00f6t\u00fc niyetli site taraf\u0131ndan; muhtemelen kullan\u0131c\u0131 reCAPTCHA mekanizmas\u0131n\u0131 taklit eden bir onay kutusuna t\u0131klad\u0131\u011f\u0131nda, pano (clipboard) arabelle\u011fine kopyalan\u0131r. \u0130kincisi, k\u00f6t\u00fc ama\u00e7l\u0131 dize, HTML ile yaz\u0131lm\u0131\u015f uygulamalar\u0131 \u00e7al\u0131\u015ft\u0131rmaya yarayan yasal mshta.exe<\/em> yard\u0131mc\u0131 program\u0131n\u0131 \u00e7a\u011f\u0131r\u0131r. Sald\u0131rganlar\u0131n sunucusuyla ba\u011flant\u0131 kurar ve k\u00f6t\u00fc ama\u00e7l\u0131 y\u00fck\u00fc y\u00fcr\u00fct\u00fcr.<\/p>\n

TikTok ve PowerShell\u2019de y\u00f6netici ayr\u0131cal\u0131klar\u0131yla ilgili video<\/h2>\n

BleepingComputer, Ekim 2025\u2019te TikTok videolar\u0131ndaki talimatlar arac\u0131l\u0131\u011f\u0131yla k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m yayan bir sald\u0131r\u0131 kampanyas\u0131 hakk\u0131nda bir makale<\/a> yay\u0131nlad\u0131. \u00d6zel yaz\u0131l\u0131mlar\u0131 \u00fccretsiz olarak etkinle\u015ftirme konusundaki video e\u011fitimlerini taklit eden s\u00f6z konusu videolarda temel olarak, PowerShell\u2019i y\u00f6netici haklar\u0131yla \u00e7al\u0131\u015ft\u0131r\u0131p ard\u0131ndan iex (irm {adres})<\/em> komutunu \u00e7al\u0131\u015ft\u0131rma gereklili\u011fi hakk\u0131nda tavsiyeler verilir. Burada, irm komutu sald\u0131rganlar taraf\u0131ndan kontrol edilen bir sunucudan k\u00f6t\u00fc ama\u00e7l\u0131 bir komut dosyas\u0131 indirir ve iex<\/em> (Invoke-Expression) komutu bunu \u00e7al\u0131\u015ft\u0131r\u0131r. Bunun \u00fczerine komut dosyas\u0131, kurban\u0131n bilgisayar\u0131na bir bilgi h\u0131rs\u0131z\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m indirir.<\/p>\n

Finger ileti\u015fim kural\u0131n\u0131 kullanma<\/h2>\n

ClickFix sald\u0131r\u0131s\u0131n\u0131n bir ba\u015fka s\u0131ra d\u0131\u015f\u0131 varyant\u0131, tan\u0131d\u0131k captcha hilesi kullansa da<\/a> k\u00f6t\u00fc ama\u00e7l\u0131 komut dosyas\u0131 eski Finger<\/a> ileti\u015fim kural\u0131n\u0131 kullan\u0131r. Ayn\u0131 adl\u0131 yard\u0131mc\u0131 program, herkesin uzak bir sunucudaki belirli bir kullan\u0131c\u0131 hakk\u0131nda veri talep etmesine olanak tan\u0131r. Bu ileti\u015fim kural\u0131 g\u00fcn\u00fcm\u00fczde nadiren kullan\u0131lmaktad\u0131r, ancak Windows, macOS ve bir dizi Linux tabanl\u0131 sistem taraf\u0131ndan hala desteklenmektedir.<\/p>\n

Kullan\u0131c\u0131, komut sat\u0131r\u0131 arabirimini a\u00e7maya ve bunu kullanarak sald\u0131rganlar\u0131n sunucusuyla Finger protokol\u00fc (TCP portu 79 kullan\u0131larak) \u00fczerinden ba\u011flant\u0131 kuran bir komut \u00e7al\u0131\u015ft\u0131rmaya ikna edilir. \u0130leti\u015fim kural\u0131 yaln\u0131zca metin bilgilerini aktar\u0131r, ancak bu, kurban\u0131n bilgisayar\u0131na ba\u015fka bir komut dosyas\u0131 indirmek i\u00e7in yeterlidir ve bu komut dosyas\u0131 daha sonra k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 y\u00fckler.<\/p>\n

CrashFix varyant\u0131<\/h2>\n

ClickFix\u2019in bir ba\u015fka varyant\u0131, daha sofistike sosyal m\u00fchendislik kullanmas\u0131yla farkl\u0131l\u0131k g\u00f6sterir. Web sayfalar\u0131ndaki reklam afi\u015fleri, izleyiciler, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar ve di\u011fer istenmeyen i\u00e7erikleri engellemek i\u00e7in bir ara\u00e7 arayan kullan\u0131c\u0131lara y\u00f6nelik bir sald\u0131r\u0131da kullan\u0131lm\u0131\u015ft\u0131<\/a>. Google Chrome i\u00e7in uygun bir uzant\u0131 ararken, kurbanlar NexShield \u2013 Advanced Web Guardian<\/em> adl\u0131 bir program buldular. Bu program, ger\u00e7ekte \u00e7al\u0131\u015fan bir yaz\u0131l\u0131m\u0131n kopyas\u0131yd\u0131, ancak bir noktada taray\u0131c\u0131y\u0131 \u00e7\u00f6kertti ve alg\u0131lanan bir g\u00fcvenlik sorunu ve hatay\u0131 d\u00fczeltmek i\u00e7in bir \u201ctarama\u201d \u00e7al\u0131\u015ft\u0131r\u0131lmas\u0131 gerekti\u011fine dair sahte bir bildirim g\u00f6r\u00fcnt\u00fcledi. Kullan\u0131c\u0131 kabul ederse, \u00c7al\u0131\u015ft\u0131r men\u00fcs\u00fcn\u00fc a\u00e7ma ve uzant\u0131n\u0131n \u00f6nceden panoya kopyalad\u0131\u011f\u0131 bir komutu y\u00fcr\u00fctme talimatlar\u0131n\u0131 al\u0131rd\u0131.<\/p>\n

Komut, tan\u0131d\u0131k finger.exe<\/em> dosyas\u0131n\u0131 ge\u00e7ici bir dizine kopyalad\u0131, ad\u0131n\u0131 ct.exe<\/em> olarak de\u011fi\u015ftirdi ve ard\u0131ndan sald\u0131rgan\u0131n adresiyle \u00e7al\u0131\u015ft\u0131rd\u0131. Sald\u0131r\u0131n\u0131n geri kalan\u0131 yukar\u0131da bahsedilen olayla ayn\u0131yd\u0131. Finger ileti\u015fim kural\u0131 talebine yan\u0131t olarak, bir uzaktan eri\u015fim Truva at\u0131 (bu durumda ModeloRAT) \u00e7al\u0131\u015ft\u0131ran ve y\u00fckleyen k\u00f6t\u00fc ama\u00e7l\u0131 bir komut dosyas\u0131 g\u00f6nderildi.<\/p>\n

DNS aramas\u0131 yoluyla k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m da\u011f\u0131t\u0131m\u0131<\/h2>\n

Microsoft Threat Intelligence ekibi, normalden biraz daha karma\u015f\u0131k bir ClickFix sald\u0131r\u0131 varyant\u0131n\u0131 da payla\u015ft\u0131<\/a>. Ne yaz\u0131k ki, sosyal m\u00fchendislik hilesi hakk\u0131nda bilgi vermediler, ancak k\u00f6t\u00fc ama\u00e7l\u0131 y\u00fck\u00fc teslim etme y\u00f6ntemi olduk\u00e7a ilgin\u00e7. Muhtemelen kurumsal ortamda sald\u0131r\u0131n\u0131n tespitini zorla\u015ft\u0131rmak ve k\u00f6t\u00fc ama\u00e7l\u0131 altyap\u0131n\u0131n \u00f6mr\u00fcn\u00fc uzatmak i\u00e7in sald\u0131rganlar ek bir ad\u0131m att\u0131lar; sald\u0131rganlar taraf\u0131ndan kontrol edilen bir DNS sunucusuyla ileti\u015fime ge\u00e7tiler.<\/p>\n

Yani, kurban bir \u015fekilde k\u00f6t\u00fc ama\u00e7l\u0131 bir komutu kopyalay\u0131p \u00e7al\u0131\u015ft\u0131rmaya ikna edildikten sonra, yasal nslookup<\/em> yard\u0131mc\u0131 program\u0131 arac\u0131l\u0131\u011f\u0131yla kullan\u0131c\u0131 ad\u0131na DNS sunucusuna bir talep g\u00f6nderilir ve example.com<\/em> etki alan\u0131 i\u00e7in veri talep edilir. Komut, sald\u0131rganlar taraf\u0131ndan kontrol edilen belirli bir DNS sunucusunun adresini i\u00e7erir. Di\u011fer \u015feylerin yan\u0131 s\u0131ra, k\u00f6t\u00fc ama\u00e7l\u0131 komut dosyas\u0131 i\u00e7eren bir dize d\u00f6nd\u00fcren bir yan\u0131t d\u00f6nd\u00fcr\u00fcr ve bu da nihai y\u00fck\u00fc indirir (bu sald\u0131r\u0131da yine ModeloRAT).<\/p>\n

Kripto para yemi ve JavaScript y\u00fck\u00fc<\/h2>\n

Bir sonraki sald\u0131r\u0131 t\u00fcr\u00fc<\/a>, \u00e7ok a\u015famal\u0131 sosyal m\u00fchendislik a\u00e7\u0131s\u0131ndan ilgin\u00e7tir. Pastebin\u2019deki yorumlarda, sald\u0131rganlar Swapzone.io<\/em> kripto para borsas\u0131 hizmetindeki iddia edilen bir kusur hakk\u0131nda aktif olarak bir mesaj yayd\u0131lar. Kripto para sahipleri, doland\u0131r\u0131c\u0131lar taraf\u0131ndan olu\u015fturulan ve bu a\u00e7\u0131\u011f\u0131 nas\u0131l kullanacaklar\u0131na ve birka\u00e7 g\u00fcn i\u00e7inde 13.000 $\u2019a kadar kazan\u00e7 sa\u011flayabileceklerine dair t\u00fcm talimatlar\u0131 i\u00e7eren bir kayna\u011f\u0131 ziyaret etmeye davet edildiler.<\/p>\n

Talimatlar, hizmetin kusurlar\u0131n\u0131n daha uygun bir kurdan kripto para birimi takas\u0131 yapmak i\u00e7in nas\u0131l kullan\u0131labilece\u011fini a\u00e7\u0131klamaktayd\u0131. Bunu yapmak i\u00e7in, kurban\u0131n Chrome taray\u0131c\u0131s\u0131nda hizmetin web sitesini a\u00e7mas\u0131, adres \u00e7ubu\u011funa manuel olarak \u201cjavascript:\u201d yazmas\u0131 ve ard\u0131ndan sald\u0131rganlar\u0131n web sitesinden kopyalad\u0131\u011f\u0131 JavaScript komut dosyas\u0131n\u0131 yap\u0131\u015ft\u0131r\u0131p \u00e7al\u0131\u015ft\u0131rmas\u0131 gerekiyordu. Ger\u00e7ekte, elbette, komut dosyas\u0131 d\u00f6viz kurlar\u0131n\u0131 hi\u00e7bir \u015fekilde etkileyemez; sadece Bitcoin c\u00fczdan adreslerini de\u011fi\u015ftirir ve kurban ger\u00e7ekten bir \u015fey takas etmeye \u00e7al\u0131\u015f\u0131rsa, fonlar\u0131 sald\u0131rganlar\u0131n hesaplar\u0131na aktar\u0131r.<\/p>\n

\u015eirketinizi ClickFix sald\u0131r\u0131lar\u0131ndan nas\u0131l koruyabilirsiniz?<\/h2>\n

ClickFix tekni\u011fini kullanan en basit sald\u0131r\u0131lar, i\u015f cihazlar\u0131nda [Win] <\/strong>+ [R] <\/strong>\u00a0tu\u015f kombinasyonunu engelleyerek \u00f6nlenebilir. Ancak, listelenen \u00f6rneklerden de g\u00f6r\u00fcld\u00fc\u011f\u00fc gibi, kullan\u0131c\u0131lar\u0131n kendileri k\u00f6t\u00fc ama\u00e7l\u0131 kod \u00e7al\u0131\u015ft\u0131rmalar\u0131 istenen tek sald\u0131r\u0131 t\u00fcr\u00fc bu de\u011fildir.<\/p>\n

Bu nedenle, temel tavsiye \u00e7al\u0131\u015fanlar\u0131n siber g\u00fcvenlik bilincini art\u0131rmakt\u0131r. Birisi onlardan sistemde ola\u011fand\u0131\u015f\u0131 i\u015flemler yapmalar\u0131n\u0131 ve\/veya bir yere kod kopyalay\u0131p yap\u0131\u015ft\u0131rmalar\u0131n\u0131 isterse, bunun \u00e7o\u011fu durumda siber su\u00e7lular\u0131n kulland\u0131\u011f\u0131 bir hile oldu\u011funu a\u00e7\u0131k\u00e7a anlamalar\u0131 gerekir. G\u00fcvenlik fark\u0131ndal\u0131k e\u011fitimi, Kaspersky Automated Security Awareness Platform<\/a> kullan\u0131larak d\u00fczenlenebilir.<\/p>\n

Ayr\u0131ca, bu t\u00fcr siber sald\u0131r\u0131lara kar\u015f\u0131 korunmak i\u00e7in \u015funlar\u0131 \u00f6neririz:<\/p>\n