Ücretsiz Wi-Fi cazibesi tekrar sahnede. Yeni ortaya çıkan Clickfix saldırısı, kullanıcıya basit bir doğrulama gibi görünen işlemler yaptırıyor, ama perde arkasında zararlı yazılım yüklüyor. İşte detaylar…
Cyber Security News’in aktardıklarına göre Clickfix, havaalanı, AVM veya büyük kafeler gibi mekanlardaki kişileri hedef alıyor. Kurban, ücretsiz Wi-Fi için ağa bağlandığında karşısına gayet profesyonel görünen bir sayfa çıkıyor. Logo var, CAPTCHA var. Yani her şey güven vermek için kuralına göre hazırlanmış. Sayfada gerçek bir alan adı yerine, sadece çıplak IP adresi bulunuyor. Zaten IP adresi olması Wi-Fi’da aldatmaca olduğunu gösteren ilk kanıt.
Kullanıcı CAPTCHA’ya tıkladıktan sonra doğrulama için yeni bir pencere açılıyor. Bu pencerede ise CTRL+S’ye basın, dosyayı indirin, tarayıcınızın indirme sekmesini açın ve Enter’a basıp dosyayı çalıştırın şeklinde yönlendirmeler yazıyor. Burada amaç tarayıcının “dikkat bu dosya zararlı olabilir” uyarılarını ve güvenliği kullanıcı eliyle geçmek.
İnen dosya ne bir fotoğraf ne de bir PDF. Aslında bir PowerShell Script’i. PowerShell, Windows’un içinde halihazırda var olan bir araç. Normalde otomasyon ve yönetim işleri için kullanılır. Ama siber saldırganların elinde tehlikeli bir silah. Bu script, saldırganın command-and-control (C2) serverına bağlanıyor ve asıl belayı indiriyor. Bela dediğimiz de network trojani oluyor.
İşin sonrası daha da karanlık. Bu zararlı yazılım “fileless malware” tekniğiyle çalıştığı için diskte iz bırakmıyor, klasik antivirüsten kolayca kaçabiliyor. Burada ekstra parantez açmak gerekli. Trojan zararlı yazılımın yaptığı işin adı. Sisteme sızar, uzaktan komut alır, veri çalar ya da arka kapı açar. Fileless malware ise çalışma şekli. Diske dosya bırakmadan RAM’de çalışır, çoğunlukla PowerShell gibi Windows’un kendi araçlarını kullanır. Clickfix saldırısında ikisi birden var.
Kullanıcılar açısından Clickfix tarzı saldırıların ipuçları açık. En başta belirttiğimiz gibi giriş sayfasında alan adı yerine IP adresi yazıyorsa, doğrulama adı altında garip kısa yollar ve yönlendirmeler varsa, iş dosya yüklemeye kadar gidiyorsa, ortada ciddi bir sorun var demek. Korunma yöntemleri basit. Kamuya açık Wi-Fi’dan dosya indirmeyin, SSID ve adresleri kontrol edin, en güvenlisi telefonunuzun mobil bağlantısını kullanmanız olacaktır.
