Yazılım & İşletim SistemiOrta

ClickFix Sosyal Mühendislik Saldırıları ve Vidar Stealer Koruması

Avustralya Siber Güvenlik Merkezi (ACSC) tarafından raporlanan ClickFix saldırı tekniği ve Vidar Stealer zararlı yazılımına karşı alınması gereken önlemler.

B
Bleeping Computer Tutorials
14 görüntülenme
ClickFix Sosyal Mühendislik Saldırıları ve Vidar Stealer Koruması

Genel Bakış

Avustralya Siber Güvenlik Merkezi (ACSC), kurumları hedef alan ve 'ClickFix' olarak adlandırılan yeni bir sosyal mühendislik kampanyası konusunda uyarıda bulundu. Bu saldırı yöntemi, kullanıcıları meşru bir hata düzeltme işlemi yaptıklarına inandırarak Vidar Stealer zararlı yazılımını çalıştırmaya zorlar. Vidar Stealer, tarayıcı verilerini, kripto cüzdanlarını ve hassas sistem bilgilerini çalma yeteneğine sahip bir bilgi hırsızıdır.

Saldırı Mekanizması

Saldırganlar, kurbanın tarayıcısında sahte bir hata mesajı görüntüler. Kullanıcıya bu hatayı 'düzeltmek' için bir komut dosyası çalıştırması gerektiği söylenir. Kullanıcı, kopyala-yapıştır yöntemiyle PowerShell komutunu çalıştırdığında, arka planda Vidar Stealer yüklenir.

Çözüm ve Savunma Adımları

  1. PowerShell Kısıtlamaları: Kurumsal ortamlarda PowerShell kullanımını kısıtlayın veya sadece imzalı scriptlerin çalışmasına izin verin.
  2. E-posta Filtreleme: 'ClickFix' şablonlarını içeren kimlik avı e-postalarını engellemek için gelişmiş e-posta güvenlik ağ geçitleri kullanın.
  3. Uç Nokta Koruması (EDR): Şüpheli PowerShell süreçlerini izlemek ve engellemek için EDR çözümleri yapılandırın.

Örnek PowerShell Kısıtlama Komutu

Aşağıdaki komut, PowerShell'in yürütme politikasını 'AllSigned' olarak değiştirerek imzasız scriptlerin çalışmasını engeller:

Set-ExecutionPolicy AllSigned -Scope LocalMachine
Uyarı: PowerShell kısıtlamaları, sistem yönetim araçlarınızın çalışma biçimini etkileyebilir. Uygulamadan önce test ortamında doğrulama yapınız.

Tespit ve İzleme

Saldırıları tespit etmek için sistem günlüklerini inceleyin. Özellikle powershell.exe süreçlerinin alışılmadık parametrelerle (örneğin -nop -w hidden -enc) çalıştırılıp çalıştırılmadığını kontrol edin.

Ayrıca, şüpheli ağ bağlantılarını izlemek için aşağıdaki komutu kullanabilirsiniz:

Get-NetTCPConnection | Where-Object {$_.State -eq 'Established'}

Bu saldırı türü, kullanıcı farkındalığının teknik önlemler kadar önemli olduğunu bir kez daha kanıtlamaktadır. Personelinize, tarayıcı üzerinden gelen 'hata düzeltme' komutlarını asla çalıştırmamaları gerektiği konusunda düzenli eğitimler verin.

İlgili Makaleler