Yeni ClickFix Saldırı Dalgası, StealC Stealer’ı Dağıtmak için Windows Sistemlerini Hedefliyor

Gelişmiş bir sosyal mühendislik kampanyası, StealC bilgi hırsızı kötü amaçlı yazılımını sunmak için sahte CAPTCHA doğrulama sayfaları aracılığıyla Windows kullanıcılarını hedef alıyor. Saldırı, kurbanlar sahte Cloudflare güvenlik kontrolleri görüntüleyen ve onları kötü amaçlı PowerShell komutlarını çalıştırmaları için kandıran gizliliği ihlal edilmiş web sitelerini ziyaret ettiğinde başlar. Güvenliği ihlal edilen web sitesi kötü amaçlı bir komut dosyası yüklüyor (Kaynak – LavelBlue)

Bu kampanya, hassas verileri çalmak için psikolojik manipülasyonu gelişmiş teknik kaçınma yöntemleriyle birleştirerek siber suç taktiklerinde tehlikeli bir evrimi temsil ediyor. Saldırı, tehdit aktörleri tarafından ele geçirilmiş meşru görünen web siteleriyle başlıyor. Kullanıcılar bu siteleri ziyaret ettiğinde, kötü amaçlı JavaScript, Cloudflare'nin doğrulama sistemini taklit eden sahte bir CAPTCHA sayfası yükler. Sayfa, kurbanlara Windows + R tuşlarına basmalarını, ardından gizli bir komutu yapıştırmak için Ctrl + V tuşlarına basmalarını ve son olarak bunu yürütmek için Enter tuşuna basmalarını söyler. Bu ClickFix tekniği, kullanıcı güveninden yararlanarak kurbanların aslında kötü amaçlı yazılım başlatırken rutin bir güvenlik kontrolünü tamamladıklarına inanmalarını sağlar. LevelBlue araştırmacıları, konumdan bağımsız kabuk kodunu indiren, yansıtıcı olarak 64 bitlik bir PE indiriciyi yükleyen ve son olarak StealC kötü amaçlı yazılımını meşru Windows süreçlerine enjekte eden bu çok aşamalı saldırı zincirini belirledi. Çok aşamalı enfeksiyon zinciri (Kaynak – LavelBlue)

Hırsız, Chrome, Edge, Firefox ve diğer tarayıcılardan tarayıcı kimlik bilgilerini, MetaMask ve Coinbase Cüzdanı dahil kripto para cüzdanı uzantılarını, Steam hesabı kimlik doğrulama dosyalarını, Outlook e – posta kimlik bilgilerini ve ekran görüntüleriyle sistem bilgilerini hedefler. Enfeksiyon Zinciri ve Kaçış Taktikleri

Kötü amaçlı yazılım, diske dosya yazmadan tamamen bellekte çalışan dosyasız yürütme tekniklerini kullanır ve bu da algılamayı son derece zorlaştırır. İlk PowerShell komutu çalıştırıldıktan sonra, Donut çerçevesi kullanılarak oluşturulan kabuk kodunu indirmek için uzak bir sunucuya bağlanır.