ClickFix E-posta Dolandırıcılığı Uyarısı: Sahte Booking.com E-postaları Kötü Amaçlı Yazılım Gönderiyor
Cofense Intelligence, Booking.com'u taklit eden, RAT'lar ve bilgi hırsızları gönderen ClickFix e-posta dolandırıcılıklarında bir artış olduğunu ortaya çıkardı. Bu karmaşık saldırıların kullanıcıları kötü amaçlı yazılım çalıştırmaya nasıl kandırdığını ve nelere dikkat etmeniz gerektiğini öğrenin.
Cofense Intelligence'daki siber güvenlik uzmanları, otel zincirlerini ve yiyecek ve konaklama sektöründeki diğer işletmeleri Booking.com'u taklit eden bir e-posta dolandırıcılığı konusunda uyarıyor. Bu aldatıcı e-postalar, kullanıcıları kötü amaçlı yazılım çalıştırmaya kandırmayı amaçlayan ClickFix olarak bilinen saldırı kampanyalarının bir parçasıdır.
ClickFix kampanyası Kasım 2024'ten bu yana istikrarlı bir şekilde ivme kazanıyor ve son aylarda belirgin bir ivme kazandı. Cofense'in analizine göre, toplam kampanya hacminin %47'si tek başına Mart 2025'te gözlemlendi.
Şirketin aktif tehdit raporları (ATR'ler), sahte CAPTCHA'ları içeren tüm olayların %75'inin Booking.com temalı ClickFix şablonlarını kullandığını gösteriyor . Booking.com taklitleri en yaygın olanı olsa da, Cofense, Cloudflare Turnstile ve çerez onay afişlerini taklit edenler de dahil olmak üzere daha az sıklıkta varyasyonlar da kaydetti.
Dolandırıcılık, sahte bir CAPTCHA web sitesine bağlantı içeren bir e-postayla başlar. CAPTCHA genellikle insanları ve bilgisayarları birbirinden ayırmak için tasarlanmış bir testtir, tıpkı bozuk harfler yazmak gibi. Ancak bu durumda sahte CAPTCHA bir hiledir. Gerçek bir doğrulama kodu yerine, üzerine tıklandığında kullanıcının bilgisayarına zararlı bir komut dosyası gönderilir.
Bu ClickFix web siteleri daha sonra kullanıcılara belirli klavye kısayollarına basmalarını söyler, genellikle Windows tuşu + R, ardından Ctrl + V ve ardından Enter. Bu dizi Windows'ta Çalıştır komutunu açar, gizli kötü amaçlı betiği yapıştırır ve ardından yürütür. Kötü amaçlı betik genellikle gerçek zararlı komutları gizlemek için doğrulama kodu gibi görünen ekstra karakterler içerir.
Bu siteler, Booking.com ve Cloudflare gibi tanınmış markaların meşru sayfaları gibi görünmek için akıllıca tasarlanmıştır. İlginçtir ki, dolandırıcılık yalnızca Windows bilgisayarları hedef alır ve diğer cihazlardan erişildiğinde, sahte CAPTCHA siteleri yalnızca Windows'ta çalıştıklarını belirten bir mesaj görüntüler.
Kötü amaçlı betik çalıştırıldığında, çeşitli tehlikeli yazılım türleri yükleyebilir. Bu saldırılarda görülen en yaygın yük, bir tür Uzaktan Erişim Truva Atı (RAT) olan XWorm RAT'tır . Bilginize, RAT'lar saldırganların bir kurbanın bilgisayarını uzaktan gizlice kontrol etmelerine olanak tanır.
Diğer sık gözlemlenen kötü amaçlı yazılımlar arasında hassas verileri çalmak için tasarlanmış bilgi hırsızları olan Pure Logs Stealer ve DanaBot bulunur. Bazı durumlarda, hem RAT'lar hem de bilgi hırsızları tek bir saldırıda iletilmiştir.
Bu ClickFix yöntemi, kullanıcıları doğrudan herhangi bir dosya indirmeye gerek kalmadan kötü amaçlı yazılımı kendileri etkinleştirmeye yönlendirdiği için endişe verici yeni bir taktiktir. Booking.com gibi güvenilir kaynaklardan geliyormuş gibi görünenler de dahil olmak üzere şüpheli e-postalara karşı dikkatli olmanın ve bilgisayarınızda komut çalıştırmanızı isteyen herhangi bir doğrulama adımının veya isteminin meşruiyetini her zaman iki kez kontrol etmenin önemini vurgular.
Bu ClickFix saldırılarını nasıl tespit edeceğiniz hakkında daha detaylı bilgi için Hackread.com'un kullanıcıları kandırmak için kullanılan teknikler ve nasıl güvende kalacağınız hakkındaki rehberine bakın.
HackRead
