Geçtiğimiz günlerde, McAfee Labs’da, Yasvi Shan ve Aayush Tyagi tarafından yayınlanan yazıda, saldırganların CAPTCHA sayfalarını kullanarak, Lumma Stealer adında bir zararlı yazılımı dağıttıklarını ifade ettiler.
Lumma Stealer ilk olarak 2022 yılının Ağustos ayında, Rusya’da oldukça yaygın bir biçimde görülüyordu. Kullanıcıların, CAPTCHA tarafından “İnsan olduğunuzu Doğrulayın” butonuna tıklayarak, arka tarafta kötü niyetli bir komut dosyasını aslında kopyalayaladığını ve dosya yapıştırma komutu sayesinde de yazılımın çalıştırıldığını dile getiriyorlar.
Yukarıda ki görselde, sahte CAPTCHA adreslerine erişen cihazların coğrafi konumları belirtilmiş. Her ne kadar bu veriler açıklandığında, Türkiye’den herhangi bir erişim gözükmese de, bu durum her an değişebilir.
Bulaşma Senaryoları
Yazıda, bu enfeksiyonun şimdilik iki yol ile bulaştığını dile getiriyor. Bunlardan birincisi; “crack” olarak tabir ettiğimiz, yasal olarak belirli ücretler karşılığında edinilmesi gereken oyunların, gayri resmi yollarla edinilmesi ile gerçekleşiyor.
Saptanan diğer yöntem ise siber güvenlikte en çok kullanılan yöntem olan “kimlik avı e-posta” yolu ile gerçekleştiği belirtiliyor. Saldırganların; Github proje repolarında aslında var olmayan, hayali bir açığının kapatılması gerektiğini belirtelerek kimlik avı e-postası gönderiyor. Bu mail ile ilgilenen hedef kullanıcılar, karşılarında “Daha fazla bilgi edinmek için…” şeklinde bir adres karşılarına gidiyor ve “github-scanner[.]com” adresine yönlendiriliyorlar.
İlgili internet sayfasına giden kullanıcılar, sahte bir CAPTCHA ile karşılaşıyor ve “ClickFix” teknik terimi ile belirtilen butonlara, saldırganlara insan olduklarını kanıtlamak için tıklıyorlar. Bu tıklama işlemi ile birlikte zararlı kod, panoya kopyalanmış oluyor.
Kullanıcılar daha sonra, sahte güvenlik açığından kurtulmak için, saldırganların sözde guide belgesini takip ederek Windows + R kombinasyonunu gerçekleştiriyorlar ve zararlı kodun yapıştırılması sağlanıyor.
Yukarıda ki diyagram’da, saldırının mimarisini görebilirsiniz.
Sahte Web Sitesi Aracılığı İle Bulaşma
Yapılan teknik analizde, korsan oyun kurmak isteyen kullanıcılar, sahte CAPTCHA sayfasına yönlendiriliyor.
Kullanıcıların bu isteğini manipüle etmek isteyen saldırganlar, bir çok çevrimiçi forumlara, gönderilere veya kötü niyetli bağlantılar sayesinde kullanıcıların dikkatlerini çekiyor ve sahte CAPTCHA sayfasına yönlendiriyorlar.
Kullanıcılar, karşılarına çıkan bu sayfada “I’m not a robot” adımını geçebilmek için, ilgili butona tıkladıktan sonra, kanıtlamanın tamamlanabilmesi için üç adımlı aşamayı geçmeleri isteniyor. Bunlar butona tıkladıktan sonra sırası ile;
- Windows + R kombinasyonu ile “Çalıştır” kutusunun açılması,
- Açılan kutuya Ctrl + V işlemi ile, ClickFix yöntemi sayesinde fark edilmeden kopyalanan kodun yapıştırılması,
- İlgili kodun çalışabilmesi için işlemin onaylanması.
Üreticisi tarafından belirli ücret karşılığında dağıtılan oyunu veya içeriği, ücretsiz olarak yasa dışı ve bilgi güvenliği açısından tehlikeli yollarla edinmek isteyen kullanıcılar böylece saldırganlar tarafından kurban ediliyorlar.
ClickFix ile aslında kopyalanan kod;
Çözülmüş komut dosyası;
Mavi alan ile işaretlenmiş “kod” parçacığı Base64 ile, kullanıcının ilgili komutu okumasının önüne geçilmek istendiği için yapılan şifreleme kodudur ve bu işlemi de -eC parametresi ile belirtir. Bu kod açıldığında, hemen alt tarafta, kırmızı alan içerisinde alınmış komutları işleve koyar.
Kırmızı alan içerisinde ki komut, Base64’lü halinin açılmışıdır. Burada da “mshta” parametresi, Windows işletim sistemlerinde bulunan “Microsoft HTML Application Host” uygulamasını çağırır ve .hta uzantılı adreslerin işleme alınmasında kullanılır. .hta uzantılı sayfalarda JavaScript veya VBScript’in çalıştırılması son derece kolaydır.
Powershell komutu sayesinde, fark etmeden ilgili web sayfasına erişen kullanıcı aslında ilgili web sayfasında ki bir JavaScript kodunu da çalıştırmaya başlıyor. Zararlı JavaScript kodları sayesinde Lumma Stealer’i, AES yöntemi ile şifrelenmiş olan PowerShell komutu sayesinde TEMP klasörüne indiriliyor ve çalıştırılmaya başlanıyor.
Kimlik Avı E-postası İle Bulaşma
Bu yöntemde, hedeflenen kullanıcı bir kimlik avı e-postası ile karşı karşıya kalır. Sözde github tarafından gelmiş gibi maskelenen e-posta’da, Github projenizde önemli bir açık bulunduğu ve çözümü için iletişime geçmeniz gerektiği belirtilir.
İlgili bağlantıya eriştiğinizde aslında karşınıza aynı sahte web sitesinde ki gibi bir sahte CAPTCHA sayfası ile karşılaşıyorsunuz. En büyük fark adres çubuğunda ki URL’in farkı.
Bu adımdan sonra ki saldırı mimarisi aslında aynıdır. Kimlik avı e-postası ile gelen kullanıcılar, ilgili butona tıklarlar ve üç adımlı bir doğrulama ile karşılaşırlar. Kullanıcı ilgili adımları gerçekleştirdiği anda C2 sunucusu ile bağlantı gerçekleştirilir ve zararlı içerik yüklenir.
Öneriler
ClickFix saldırılarından korunmanın temel bir kaç adımı vardır;
- Son kullanıcıların bilgi güvenliği tarafında düzenli eğitilmesi
- Son kullanıcılarda muhakkak bir endpoint korumasının olması ve bu korumanın güncel olması,
- Kimlik avı e-postalarından korunmak için bir mail koruma sistemine sahip olmanız ve bu korumanın doğru bir şekilde ayarlanması,
- İşletim sistemlerinizin güncel olması,
- Son kullanıcıların içerik yüklemelerinin kısıtlanması ve CSP (Content Security Policy) uygulayarak sadece güvenilir kaynaklardan indirilen uygulamaların kurulması,
- Tarayıcılarda ve sistemlerde JavaScript korumasını etkinleştirebilirsiniz,
Daha fazlası için: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/behind-the-captcha-a-clever-gateway-of-malware/
