Siber güvenlik firması Check Point, neredeyse hiç kullanıcı etkileşimi gerektirmeyen yeni bir sosyal mühendislik saldırı tekniği keşfetti: FileFix. Bu saldırı yöntemi, kullanıcıları zararlı komutlar çalıştırmaya yönlendirerek ciddi güvenlik riskleri oluşturuyor.
FileFix Nedir?
FileFix, daha önce yaygın şekilde kullanılan ClickFix yönteminin geliştirilmiş bir versiyonu. ClickFix, Windows’un “Çalıştır” penceresini kullanarak kötü amaçlı komutların çalıştırılmasını sağlıyordu. Ancak FileFix, bu yaklaşımı daha da ileriye taşıyor ve saldırıyı daha “sessiz” ve etkili hale getiriyor.
Saldırı Nasıl Gerçekleşiyor?
FileFix saldırısı, genellikle zararsız görünen sahte bir web sayfasıyla başlıyor. Adım adım şu şekilde işliyor:
- Kullanıcı sahte bir doğrulama veya belge paylaşım sayfasına yönlendiriliyor.
- Sayfadaki “Dosya Gezgini’ni aç” butonuna tıklanmasıyla
explorer.exeçalıştırılıyor. - Aynı anda JavaScript ile zararlı bir PowerShell komutu otomatik olarak panoya kopyalanıyor.
- Kullanıcıya, “adres çubuğuna yapıştır ve enter’a bas” talimatı veriliyor.
- Böylece komut arka planda çalışıyor ve kullanıcı farkında olmadan kötü amaçlı yazılımı aktive ediyor.
Rutin Davranışlar Tehlikeye Açık
Bu yöntem, herhangi bir yazılım açığından değil, tamamen kullanıcı alışkanlıkları ve güven duygusunun sömürülmesiyle çalışıyor. Kullanıcılar, bilgisayarın yönlendirmelerine uyarak aslında kendilerini hedef haline getiriyor.
Check Point araştırmacıları, saldırının şu an deneme amaçlı kullanıldığını, yüklenen dosyaların henüz zararsız olduğunu ancak esas zararlı sürümlerin yakın zamanda yayılabileceğini vurguladı.
Saldırganlar Hızla Uyum Sağlıyor
Huntress firmasından Dray Agha, saldırganların Windows’un temel işlevlerine yönelerek klasik güvenlik önlemlerini aşmaya çalıştığını belirtiyor. Özellikle PowerShell üzerinden çalışan komutların çoğu zaman standart güvenlik yazılımlarına takılmadan yürütülebildiği ifade ediliyor.
FileFix’in, kamuya açıklanmasından sadece birkaç gün sonra aktif olarak kullanılmaya başlaması, saldırganların ne kadar hızlı adapte olabildiğini gözler önüne seriyor.
Nasıl Korunmalı?
Kurumsal Güvenlik Önlemleri:
- Sahte doğrulama ekranları ve kimlik avı girişimlerini tespit eden sistemler geliştirin.
- Panoya kopyalanan içerikleri ve kullanıcı etkileşimiyle tetiklenen PowerShell aktivitelerini izleyin.
- Çalışanlara yönelik sosyal mühendislik eğitimlerini güncel tutun.
- Alışılmadık taleplerin mutlaka güvenlik birimleriyle doğrulanması gerektiğini benimseyin.
Bireysel Kullanıcılar İçin Tavsiyeler:
- Kopyala–yapıştır gibi sıra dışı işlemler talep eden e-postalara ve sayfalara karşı şüpheci olun.
- Gerçek uygulamalar, nadiren manuel komut çalıştırmanızı ister. Bu tür isteklerde mutlaka durumu sorgulayın.
- Güncel bir antivirüs yazılımı ve güvenlik duvarı kullanın.
- Panoya istemsiz olarak gelen içerikleri kontrol edin, direkt çalıştırmayın.
