Huntress, Windows 11’in sahte güncellemesiyle kullanıcıyı komut çalıştırmaya yönlendiren ClickFix hilesini raporladı; LummaC2 ve Rhadamanthys verileri çalıyor.
© RusPhotoBank
Huntress’taki siber güvenlik uzmanları, kötü amaçlı bir süreci zorunlu Windows 11 güncellemesi gibi gösteren ClickFix tarzı bir hileye dayanan yeni bir saldırı dalgasını ortaya çıkardı. Hedeflere, gerçek arayüzden neredeyse ayırt edilemeyen tam ekran bir Windows Güncelleme Merkezi kopyası gösteriliyor; bu da güçlü bir meşruiyet duygusu yaratıyor. Böylesine cilalı bir sahneleme, aceleyle güncelleme tuşuna basmaya alışık kullanıcıları kolayca ikna ediyor.
Kullanıcılar sistemi güncellemeye yönlendirilirken, bir komut sessizce panoya yerleştiriliyor. Kandırmaca, ardından kullanıcıyı Win + R’yi açmaya, hazırlanmış ifadeyi yapıştırmaya ve çalıştırmayı onaylamaya sevk ediyor; böylece kötü amaçlı kod, bizzat kullanıcının eylemiyle tetiklenmiş oluyor. Adımlar sıradan bir sistem işlemi gibi göründüğü için birçok savunma katmanı bu sayede aradan sıyrılıyor. Dikkat çekici olan, saldırının güvenliği aşmak için teknoloji yerine insan reflekslerini devreye sokması.
Etkinleştirildiğinde düzen, LummaC2 ve Rhadamanthys’i indirip kuruyor. Bu araçlar, hesap kimlik bilgileri ve çerezlerden kripto para cüzdanı verilerine ve kayıtlı parolalara kadar hassas bilgileri gizlice toplamaya odaklanıyor. Araştırmacılar, kampanyanın ekim ayı başından bu yana sürdüğünü bildiriyor; ancak ölçeği belirsizliğini koruyor ve kaç kişinin etkilendiğine dair rakam paylaşılmıyor. Tuzak ne kadar gerçekçi görünürse risk o kadar yükseliyor; üstelik kullanıcı kötü niyetli zinciri farkında olmadan fiilen kendisi başlattığı için, bu tam da en etkili olduğu kanıtlanan sosyal mühendisliğe denk düşüyor.