Kripto korsanları sahte girişim sermayesi temaslarıyla ClickFix'i suistimal ediyor

Kripto suçluları, geleneksel güvenlik araçlarını aşmak için sosyal mühendislik taktiklerini geliştiriyor; sahte girişim sermayesi temaslarıyla ClickFix adı verilen bir yöntemi devreye sokuyorlar.

Araştırmacılara göre saldırganlar LinkedIn'de yatırım firmalarını taklit ederek kullanıcıları sahte video görüşmelerine çekiyor ve kendi cihazlarında kötü amaçlı komutları çalıştırmaları için kandırıyor.

Yöntem, mağdurların zararlı kodu manuel olarak çalıştırmasına dayanarak geleneksel kötü amaçlı yazılım indirmelerini atlıyor.

Sahte yatırımcı kampanyasına ek olarak, ele geçirilmiş bir Chrome uzantısı da benzer saldırıları yaymak için kullanıldı ve taktiği doğrudan mesaj dolandırıcılığının ötesine taşıdı.

Sahte girişim sermayesi kimlikleri

Moonlock Lab'in raporuna göre, dolandırıcılar SolidBit, MegaBit ve Lumax Capital dahil olmak üzere sahte girişim sermayesi markaları oluşturdu.

Saldırganlar, ortaklık teklifleri ve yatırım fırsatlarını görüşme davetleriyle hedeflere LinkedIn üzerinden ulaşıyor.

Mağdurlar Zoom veya Google Meet bağlantısı gibi görünen sayfalara yönlendiriliyor.

Bir toplantı yerine, 'Ben robot değilim' onay kutusu içeren sahte bir Cloudflare doğrulama adımı gösteren sahte bir etkinlik sayfasına yönlendiriliyorlar.

Kutuya tıklamak, kötü amaçlı bir komutu panoya kopyalar. Sayfa daha sonra kullanıcıya bilgisayarının terminalini açıp sözde doğrulama kodunu yapıştırmasını talimat verir.

Komut çalıştırıldığında saldırı başlatılır.

Moonlock Lab, ClickFix'in etkinliğinin hedefi komutu kendilerinin çalıştırmaya zorlamasında yattığını belirtti.

Şüpheli bir dosya indirmesi veya otomatik bir açık sömürüsü olmadığından birçok geleneksel güvenlik kontrolü atlanıyor.

Firma, SolidBit Capital'de kurucu ortak ve yönetici ortak olarak gösterilen Mykhailo Hureiev adını kullanan bir kişinin LinkedIn temas aşamasında birincil iletişim kişi olarak hareket ettiğini iddia etti.

Chrome uzantısının ele geçirilmesi

Ayrı bir gelişmede, hackerlar ele geçirilmiş bir Chrome uzantısı aracılığıyla benzer bir ClickFix yöntemi kullandı.

Kullanıcıların tarayıcıda doğrudan Google Lens aramaları yapmasına izin veren QuickLens uzantısı, kötü amaçlı betikler yayıyor olduğu tespit edildikten sonra Chrome Web Store'dan kaldırıldı.

Annex Security'nin kurucusu John Tuckner, 23 Şubat tarihli raporda QuickLens'in 1 Şubat'ta el değiştirdiğini belirtti.

İki hafta sonra, ClickFix saldırılarını ve diğer bilgi çalma araçlarını başlatan betikler içeren güncellenmiş bir sürüm yayınlandı.

Yaklaşık 7.000 kullanıcı uzantıyı yüklemişti.

eSecurity Planet'in 2 Mart tarihli raporu, ele geçirilmiş uzantının fon çalmak için kripto cüzdan verileri ve seed ifadelerini aradığını belirtti.

Ayrıca Gmail gelen kutusu içeriğini, YouTube kanal verilerini, giriş kimlik bilgilerini ve web formlarına girilen ödeme bilgilerini kazıdı.

Sektöre daha geniş etkisi

Moonlock Lab, ClickFix saldırılarının geçen yıldan beri popülerlik kazandığını; bunun sebebinin mağdurları kötü amaçlı yükü manuel olarak çalıştırmaya zorlaması ve böylece saldırganların birçok otomatik tespit sistemini atlamasına izin vermesi olduğunu söyledi.

Araştırmacılar yöntemi en azından 2024'ten beri izliyor.

Microsoft Threat Intelligence Ağustos'ta uyarıda bulundu ve her gün dünya çapında binlerce kurumsal ve son kullanıcı cihazını hedefleyen kampanyalar gözlemlediğini bildirdi.

Temmuz'da, Unit42 rapor etti ki nispeten yeni sosyal mühendislik tekniği imalat, toptan ve perakende, eyalet ve yerel yönetimler ile kamu hizmetleri ve enerji sektörlerini etkiledi.