ClickFix Saldırıları API ile Evriliyor: Güvenlikte Yeni Bir Dönem mi?

API tabanlı zararlı yazılım dağıtımının en sinsi yöntemlerinden biri olan ClickFix, siber güvenlik dünyasında yeni bir evreye geçiş yaptı. Yıllardır basit sosyal mühendislik taktikleriyle kullanıcıları kandıran bu tehdit, artık arka planda API güdümlü sunucularla operasyonlarını gizliyor. Araştırmacı Bert-Jan Pals’ın ortaya koyduğu detaylar, bu değişimin sıradan bir adaptasyon olmadığını, aksine tehdit aktörlerinin ne denli hızlı ve dinamik bir gelişim gösterdiğini gözler önüne seriyor.
Pals’ın OrangeCon’da sunduğu ve 30 Haziran’da yayımladığı analizler, 3.000’den fazla canlı ClickFix saldırı yükünü inceliyor. Siber suçlular, sahte insan doğrulama sayfaları veya yanıltıcı hata mesajları aracılığıyla kullanıcıların panolarına kötü amaçlı komutları kopyalamalarını sağlıyorlardı; peki, bu kadar basit bir yöntem nasıl bu denli etkili olabiliyor? Geleneksel güvenlik önlemlerini atlatan bu taktik, 2024 sonundan 2025 ilk yarısına kadar ESET’in ölçümlerine göre %517’lik şaşırtıcı bir artış gösterdi. Microsoft’un 2025 Dijital Savunma Raporu ise ilk erişim vakalarının %47’sinde ClickFix’i işaret ediyor, bu da onun ne denli yaygınlaştığını kanıtlıyor. Hatta bu teknik, artık MITRE ATT&CK çatısında T1204.004 koduyla ayrı bir giriş sahibi— ne kadar tehlikeli, değil mi?
Evrilen Tehdit: ClickFix Mekanizması Nasıl İşliyor?
ClickFix’in temel işleyişi şaşırtıcı derecede basittir. Kullanıcılar, tuzakla hazırlanmış bir web sayfasını ziyaret ettiklerinde, sahte bir CAPTCHA doğrulaması veya sistem hatasıyla karşılaşırlar. Bu esnada, sayfanın arka planında çalışan gizli bir JavaScript kodu, zararlı bir komutu kullanıcının panosuna kopyalar. Sayfa daha sonra kullanıcıya belirli bir tuş kombinasyonuna basarak bu komutu yapıştırmasını ve Enter’a basmasını söyler. Bu, kurbanın kötü amaçlı yazılımı kendi elleriyle çalıştırmasına neden olur. İlk adımda genellikle bir güvenlik açığından yararlanılmaz ve geleneksel antivirüs yazılımlarının bayrak atabileceği bir dosya genellikle bulunmaz. Bu durum, geleneksel e-posta ve uç nokta güvenlik kontrollerinin bu tür saldırıları tespit etme yeteneğini ciddi şekilde kısıtlar.
Bu yöntem, siber güvenlik ekipleri için sürekli bir baş ağrısıdır, zira saldırının ilk aşamasında geleneksel bir dosya tabanlı tehdit bulunmaz. Türk şirketlerinin de sıkça hedefi haline gelen bu tür sosyal mühendislik saldırıları, çalışanların farkındalığını artırmanın ne kadar kritik olduğunu bir kez daha ortaya koyuyor. Acaba kurumlar, bu tür “kendin çalıştır” mekanizmalarına karşı yeterince hazırlıklı mı? Saldırganların yaratıcılığı, her zaman savunmacıların bir adım önünde gitme eğilimindedir. Peki, bu basit görünen mekanizma, son dönemde nasıl daha sofistike bir yapıya büründü?
“ClickFix saldırılarının API güdümlü evrimi, geleneksel güvenlik paradigmalarını sarsıyor ve siber savunma stratejilerimizde köklü bir yeniden değerlendirmeyi zorunlu kılıyor.”
API Güdümlü Yükler: Her Kurban İçin Yeni Bir Kimlik
Bert-Jan Pals’ın araştırmasının en dikkat çekici bulgularından biri, kötü amaçlı yüklerin nasıl üretildiğiyle ilgilidir. Pals, ClickFix sayfalarının artık komutlarını arka uç sunucularından çektiğini keşfetti. Bu sunucular, isteğe bağlı bir hizmet gibi çalışır: gelen istekleri kabul eder, erişim belirteçlerini kontrol eder, arayanı günlüğe kaydeder ve her seferinde taze, karıştırılmış bir komut döndürür. Pals’ın bir sunucudan yaptığı 100 farklı yük isteği, 100 farklı sonuçla karşılandı. Bu yükler, Base64, AES, TripleDES, Rijndael ve Deflate gibi çeşitli şifreleme ve sıkıştırma yöntemleriyle paketlenmişti.
Şifrelemeler çözüldüğünde, şu an için hepsi aynı PowerShell betiğine açılıyor ve bu betik bellek üzerinden çalışıyor. Ancak Pals, asıl kötü amaçlı yazılımın yakında her kurban için farklılaşmaya başlayacağı konusunda uyarıyor— bu da tespiti daha da zorlaştıracak bir senaryo. Bu platform, 25 farklı dilde yemler sunabilme ve komutu ziyaretçinin işletim sistemine göre eşleştirebilme yeteneğine sahip; macOS sürümleri de Windows sürümlerinin yanı sıra çalışabiliyor. “Hizmet olarak” etiketi sadece bir pazarlama taktiği değil; ESET zaten suçluların hazır ClickFix oluşturucularını diğer saldırganlara sattığını izliyordu. Pals’ın bulguları, bu ticarileşmenin bir katman daha derine indiğini, yani her yükün talep üzerine üretilmesiyle ticari bir yapıya büründüğünü gösteriyor. Bu durum, API tabanlı zararlı yazılım dağıtımının ne denli geniş bir ekosistem yarattığını kanıtlıyor.
Gizli Giriş Kapısı: İndirilenler Klasörü Yöntemi
Pals’ın ikinci önemli bulgusu, panoyu izleyen savunuculara doğrudan bir yanıt niteliğinde. Geleneksel ClickFix yönteminin panoya kötü amaçlı bir komut kopyalamasının aksine, yeni nesil sayfalar zararsız görünen bir komut kopyalıyor. Bu esnada, sayfa sessizce bir dosyayı kullanıcının İndirilenler klasörüne indiriyor. Panoya kopyalanan kısa “orkestratör” komutu ise, indirilen bu dosyayı taşıyor, paketini açıyor ve içindeki betiği çalıştırıyor. Kopyalanan satır sadece bu orkestratör olduğu için, Windows’un antivirüs yazılımlarının betikleri çalıştırmadan önce taramasını sağlayan AMSI (Antimalware Scan Interface) özelliğini atlatmak üzere tasarlanmış. Kötü amaçlı kod, indirilen dosyanın içinde, kenarda gizlenmiş durumda bekliyor.
Gözlemlenen pano satırı tam olarak şöyle görünüyordu: powershell -C “$t=$env:TMP;Move-Item “$HOMEDownloadstmp. Bu, saldırganların ne kadar ustaca gizlenme yöntemleri geliştirdiğini gösteriyor. Türk siber güvenlik uzmanları için bu, sadece panoyu izlemenin artık yeterli olmadığı, aynı zamanda indirme klasörlerindeki şüpheli aktiviteyi de yakından takip etmenin elzem olduğu anlamına gelir. Bir dosya indirme işleminin ardından otomatik olarak çalışan bir PowerShell komutu, birçok kurumsal güvenlik çözümünün radarına takılmayabilir. Bu yeni yöntem, işletmelerin ve bireylerin sadece bilinen tehditlere değil, sürekli evrilen, adaptif saldırı taktiklerine karşı da hazırlıklı olması gerektiğini haykırıyor.
Peki Siber Güvenlik Uzmanları Ne Yapmalı?
ClickFix gibi API tabanlı zararlı yazılım dağıtım yöntemlerinin hızla evrildiği bir dönemde, siber güvenlik uzmanlarının proaktif adımlar atması kaçınılmaz hale geliyor. İlk olarak, kullanıcı eğitimleri hayati önem taşıyor; çalışanlara, internetten kopyalayıp yapıştırdıkları komutların potansiyel tehlikeleri konusunda sürekli farkındalık sağlanmalı. Herhangi bir web sitesinin “doğrulama” veya “hata giderme” adı altında komut yapıştırma taleplerine karşı şüpheci olunması gerektiği net bir şekilde vurgulanmalıdır.
Teknik tarafta, uç nokta tespit ve yanıt (EDR) çözümlerinin sadece bilinen kötü amaçlı yazılım imzalarını değil, aynı zamanda şüpheli süreç davranışlarını ve dosya sistemi değişikliklerini de izlemesi gerekiyor. Özellikle PowerShell betiklerinin alışılmadık şekillerde çalıştırılması veya “Downloads” klasörüne indirilen dosyaların ardından gerçekleşen anormal aktiviteler için özel kurallar oluşturulmalıdır. AMSI ve diğer yerel güvenlik özelliklerinin bypass edilmeye çalışıldığı senaryolar, anında alarm vermelidir. Ağ düzeyinde, şüpheli IP adreslerinden veya bilinmeyen alan adlarından gelen API çağrıları titizlikle denetlenmeli, özellikle zararlı yük dağıtım sunucularıyla ilişkilendirilebilecek trafik profilleri izlenmelidir. Unutmayalım ki, bu tehditler sadece teknoloji ile değil, insan faktörüyle de mücadele etmeyi gerektirir. Sürekli adaptasyon ve katmanlı savunma, bu yeni dönemin anahtarıdır.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları