Siber güvenlik firması Check Point, “FileFix” adı verilen yeni bir hack yöntemine karşı uyardı.

Yöntem siber suçluların kullanıcıları kandırarak zararlı komutlar çalıştırmasını sağlıyor ve ciddi güvenlik riskleri oluşturuyor. Üstelik kullanıcılar kandırıldıkları sırada kendi bilgisayarları tarafından rutin işlemler yapmaya sevk ediliyor.

NASIL İŞLİYOR?

FileFix, daha önce yaygın şekilde kullanılan “ClickFix” tekniğinin bir türevi. ClickFix, Windows’un “Çalıştır” penceresi üzerinden kötü amaçlı komutlar çalıştırmak için kullanıcıları kandırıyordu. Çalıştır, Windows işletim sistemlerinin en çok kullanılan araçlarından biri. Bu pencere bilgisayarda herhangi bir işlemi yapmak ya da herhangi bir uygulama ya da programı açmak için kullanılıyor.

FileFix ise doğrudan bir internet sayfasından Windows Dosya Gezgini’ni açıyor ve gizlenmiş bir PowerShell komutunu kullanıcının panosuna otomatik olarak yüklüyor. PowerShell, Windows’un bilgisayardaki işlemleri otomatikleştirmek için geliştirdiği bir araç. Bu durumda ise zararlı bir yazılımı işleme almış oluyor.

Saldırı yöntemi adım adım şu şekilde işliyor:

– Sahte bir web sayfası açılıyor (örneğin “görsel doğrulama” ya da “belge paylaşımı” gibi).

– Bu sayfa, “Dosya Gezgini’ni aç” butonuna “tıkla” dedikten sonra explorer.exe’yi başlatıyor.

– Aynı anda JavaScript ile zararlı bir PowerShell komutu panoya kopyalanıyor.

– Sayfa kullanıcıya “Adres çubuğuna yapıştır ve enter tuşuna bas” talimatı veriyor. Böylece Windows zararlı PowerShell komutunu arka planda çalıştırıyor.

RUTİN DAVRANIŞLARI HEDEF ALIYOR

Kısacası çoğu durumda neler olduğunu anlamayabilecek kullanıcılar, bilgisayarından gelen komutları takip ederek zararlı yazılımı çalıştırmış oluyor. Bu saldırının herhangi bir yazılım açığından değil, tamamen rutin kullanıcı davranışlarını ve kullanıcı güvenini suistimal ederek gerçekleştirildiği vurgulanıyor.

Check Point araştırmacıları, kötü niyetli aktörlerin FileFix yöntemini hâlihazırda kullanmaya başladığını ve ama şu anda yüklenen dosyaların zararsız olduğunu dile getirdi. Buna göre saldırganlar muhtemelen gerçek zararlı yazılımlardan önce deneme yapıyor.

IT Pro’ya konuşan uzmanlar, FileFix’in kamuya açıklanmasından yalnızca günler sonra sahada kullanılmaya başlanmasının, saldırganların yeni yöntemlere ne kadar hızlı adapte olduğunu da ortaya koyduğunu belirtiyor.

Siber güvenlik firması Huntress’ın güvenlik operasyonları yöneticisi Dray Agha, “Saldırganlar, Windows’un temel işleyiş biçimlerini hedef alarak savunmaların uygulanmasını giderek zorlaştırıyor. Zararlı PowerShell komutlarını standart güvenlik uyarıları tetiklenmeden çalıştırabiliyorlar” dedi.

Agha, FileFix’in yaygın ve başarılı şekilde kullanıldığını ve çok sayıda kullanıcının bu tekniğe kandığını söyledi.

NASIL KORUNMALI?

Check Point uzmanları, bu tür saldırılara karşı korunmak için özellikle bilişim güvenlik ekiplerine şu önerilerde bulundu:

– Sahte doğrulama sayfaları ve popüler hizmetlerin taklit edildiği kimlik avı (phishing) sitelerini yakından izleyin. Özellikle Cloudflare benzeri şablonlar kullanan sahte sayfalara dikkat edin.

– Panoya kopyalanan içerikler ve kullanıcı etkileşimiyle tetiklenen olağandışı PowerShell çalıştırmalarını algılayacak kuralları uygulayın ve sürekli güncelleyin.

– Sosyal mühendislik trendlerini takip edin, çalışan eğitimlerini, olay müdahale planlarını ve güvenlik protokollerini düzenli olarak güncelleyin.

– “Doğrulama kültürü” oluşturun. Çalışanlar alışılmadık veya beklenmedik talepleri mutlaka ilgili güvenlik birimiyle teyit etmeden uygulamamalı.

Öte yandan kullanıcı farkındalığı bu tür saldırıların etkisini azaltmada en önemli savunma hattı olmaya devam ediyor. Bireysel kullanıcıların da şu konularda dikkatli olması tavsiye edildi:

– Kopyala-yapıştır gibi alışılmadık eylemler isteyen e-postalara ve web sayfalarına karşı son derece şüpheci olun.

– Gerçek internet siteleri veya yazılımlar, sorunları düzeltmek için manuel komut yürütmenizi nadiren ister.