PowerShell Komutlarını Yürütmek için ClickFix Komut Dosyasında DNS txt Kayıtlarını Kullanan Saldırganlar

Siber güvenlik ortamı, KongTuke kampanyasının sofistike evrimi ile kararmıştır. 2015 'in ortalarından bu yana aktif olan bu tehdit aktörü grubu, geleneksel kurumsal güvenlik filtrelerini atlamak için tekniklerini sürekli olarak geliştirmiştir. Birincil silahları, şüphelenmeyen kullanıcıları simüle edilmiş web sitesi hatalarını manuel olarak düzeltmeleri için kandıran bir sosyal mühendislik vektörü olan "ClickFix" stratejisi olmaya devam ediyor. Bu saldırılarda mağdurlar, güvenliği ihlal edilmiş meşru web sitelerinde sahte tarayıcı hataları veya doğrulama captchaları ile karşılaşır. Aldatıcı talimatlar, kötü amaçlı bir komut dosyasını kopyalamalarını ve doğrudan Windows Çalıştır iletişim kutusuna veya bir PowerShell terminaline yapıştırmalarını ister. Bu "kendi kendine bulaşma" yöntemi, yetkisiz kod yürütmek için kullanıcının kendi sistem ayrıcalıklarından yararlanarak otomatik indirme korumalarını etkili bir şekilde atlar. Bununla birlikte, son zamanlarda teknik ticarette önemli bir artış ortaya çıkmıştır. Birim 42 analistleri, en son KongTuke yinelemelerinin artık bir sonraki aşamalarını gizlice maskelemek için DNS txt kayıtlarını kullandığını tespit etti. Http aracılığıyla işaretli bir web sunucusuna ulaşmak yerine, ilk komut dosyası, kayıttan kötü amaçlı hazırlama talimatlarını almak için meşru görünümlü bir etki alanının DNS kayıtlarını sorgular. # ClickFix komut dosyasında #DNS txt kayıtlarını kullanarak # KongTuke kampanyasını keşfettik. Bu DNS txt kayıtları, bir PowerShell komut dosyasını almak ve çalıştırmak için bir komut düzenledi. ClickFix kampanyalarını gelecekteki olaylar için izlemeye devam ediyoruz. Ayrıntılar için: https://t.co/nU4KHPPlk5 pic.twitter.com/JGIMcpyrlk- Unit 42 (@ Unit42_Intel) 4 Şubat 2026

Bu yöntem, standart http trafik analizine dayanan savunucular için tespiti önemli ölçüde karmaşıklaştırır. Yükü DNS yanıtlarına yerleştirerek, saldırganlar kötü amaçlı trafiklerini internet çözünürlüğünün sürekli arka plan gürültüsüyle sorunsuz bir şekilde harmanlıyorlar.