Son aylarda güvenlik araştırmacıları, macOS kullanıcılarını hedef alan yeni ve karmaşık bir phishing kampanyası keşfettiler. Bu saldırı, “ClickFix” adıyla anılıyor ve kullanıcıları, CAPTCHA doğrulaması yapıyormuş gibi kandırarak terminal üzerinde zararlı komutlar çalıştırmaya zorluyor.Saldırı, sosyal mühendislik yöntemlerini ve işletim sistemi algılamayı birleştirerek kurbanları kandırıyor. Cloudflare gibi meşhur web hizmetlerinin CAPTCHA doğrulama sayfalarının birebir taklidini yapan sahte web sayfaları kullanılıyor. Ancak saldırının ayırt edici yanı, geleneksel virüs ve zararlı dosya bırakmak yerine base64 ile kodlanmış gizli betikler kullanması.
Kurbanlar, genellikle popüler kripto veya işlem platformlarını taklit eden, tehlikeli URL’lere yönlendiriliyor. Bu sayfalar, Windows kullanıcılarına basit ve zararsız PowerShell komutları gösterirken, macOS kullanıcılarına Terminal uygulamasını açıp kendilerine verilen uzun base64 kodlu komutu yapıştırmaları ve çalıştırmaları talimatını veriyor. Bu, kullanıcıları doğrudan zararlı yazılım yüklemeye ikna etmek için son derece etkili bir sosyal mühendislik taktiği.Terminale yapıştırılan komut, base64 ile kodlanmış betiği çözüyor ve bash üzerinde çalıştırıyor. Bu işlem, sistemde obfuscate edilmiş (şifrelenmiş/gizlenmiş) bir AppleScript dosyasını (.scpt) indirip çalıştırıyor. AppleScript, macOS’un otomasyon dili olarak kullanılıyor ve bu zararlı betik, kurbanın sisteminde çeşitli dosya ve bilgileri toplamak için kullanılıyor.
ClickFix, kullanıcıya ait Masaüstü, Belgeler ve Kütüphane klasörlerindeki PDF, DOCX, KEY dosyaları gibi önemli belgeleri arıyor. Ayrıca Safari, Firefox ve Chromium tabanlı tarayıcıların kaydettiği şifreler, çerezler, form geçmişi gibi hassas verileri; ayrıca MetaMask ve Exodus gibi popüler kripto para uzantılarının cüzdan dosyalarını da topluyor.Zararlı betik, kullanıcının parola girmesini talep ederek yönetici ayrıcalıkları kazanmayı hedefliyor. Böylece sistemde daha geniş erişim elde ediyor ve daha fazla veri toplayabiliyor. Toplanan bilgiler, sistem profil verileri ile birlikte /tmp/out.zip adlı geçici bir arşiv dosyasına sıkıştırılıyor ve ardından saldırganın kontrolündeki uzak sunucuya gönderiliyor.Gönderim tamamlandıktan sonra sistemde iz bırakmamak için geçici klasör ve dosyalar temizleniyor. Bu da olayın tespiti ve adli analizini zorlaştırıyor.ClickFix saldırısı, kullanıcıların aşina olduğu CAPTCHA doğrulama yöntemini terminal tabanlı sosyal mühendislik ile birleştirerek antivirüs ve güvenlik yazılımlarını atlattığı için oldukça tehlikeli. Geleneksel antivirüs yazılımları bu tür dosyasız (fileless) saldırıları fark etmekte zorlanıyor.
Sonuç olarak, kullanıcıların tanımadıkları sitelerde verilen komutları terminalde çalıştırmaması, macOS ve genel olarak tüm sistemlerde çok katmanlı güvenlik önlemlerinin (Uygulama Beyaz Listeleme, Davranış Analizi, Gerçek Zamanlı Tehdit İstihbaratı) kullanılması şart.
KAYNAKÇA:https://cybersecuritynews.com/clickfix-malware-attacks-macos/
