Tek bir gün süren hedef odaklı kimlik avı saldırısı, Ukrayna bölgesel hükümet yönetiminin üyelerini ve Uluslararası Kızıl Haç Komitesi, UNICEF ve çeşitli STK'lar dahil olmak üzere Ukrayna'daki savaş yardım çalışmaları için kritik öneme sahip kuruluşları hedef aldı.
PhantomCaptcha olarak adlandırılan bir günlük kampanya, kurbanları, Cloudflare CAPTCHA doğrulama istemleri kılığında ClickFix saldırılarında kullanılan komutları çalıştırmaları ve WebSocket Uzaktan Erişim Truva Atı (RAT) yüklemeleri için kandırmaya çalıştı.
SentinelOne'ın tehdit araştırma bölümü olan SentinelLABS, kampanyanın 8 Ekim'de başlayıp bittiğini, operasyonda kullanılan bazı alan adlarının Mart ayı sonunda kaydedilmesi nedeniyle saldırganın gerekli altyapıyı kurmak için önemli miktarda zaman ve çaba harcadığını söylüyor.
Saldırılar, Ukrayna Cumhurbaşkanlığı Ofisi'nin kimliğine bürünen e-postaların, Zoom (zoomconference[.]uygulaması) iletişim platformunu taklit eden bir alan adına bağlanan kötü amaçlı PDF ekleri taşımasıyla başladı.
Sahte Zoom konferansı bağlantısına tıklayan ziyaretçiler, iletişim platformuna yönlendirilmeden önce otomatik bir tarayıcı kontrol süreci gördü.
Bu aşamada, bir istemci tanımlayıcısı oluşturulur ve Websocket bağlantısı üzerinden saldırganın sunucusuna iletilir.
SentinelLABS'ın analizi, "WebSocket sunucusu eşleşen bir tanımlayıcıyla yanıt verirse kurbanın tarayıcısı meşru, parola korumalı bir Zoom toplantısına yönlendirilecektir" dedi.
Araştırmacılara göre, bu yol muhtemelen tehdit aktörünün kurbanla canlı sosyal mühendislik görüşmeleri yapmasına yol açtı.
Müşteri kimliği eşleşmezse ziyaretçilerin başka bir güvenlik kontrolünden geçmesi ve robot değil gerçek insanlar olduklarını kanıtlamaları gerekiyordu.
Sahte CAPTCHA doğrulamasını, bir "belirteci" kopyalayıp Windows Komut İstemi'ne yapıştırmak için bir düğmeye basmalarını isteyen Ukraynaca talimatları izleyerek tamamlayabilirler.
Kopyala/yapıştır eyleminin yaptığı şey, ikinci aşama yükünü, bir keşif ve sistem profili oluşturma yardımcı programını sağlamak için kötü amaçlı bir komut dosyasını (cptch) indirip çalıştıran bir PowerShell komutunu çalıştırmaktı.
Araç, bilgisayar adı, etki alanı bilgileri, kullanıcı adı, işlem kimliği ve sistem UUID'si gibi sistem verilerini toplar ve bunları komut ve kontrol (C2) sunucusuna gönderir.
Son yük, uzaktan komut yürütme ve base64 kodlu JSON komutları aracılığıyla veri sızdırma kapasitesine sahip hafif bir WebSocket RAT'tır.
Araştırmacılar, kısa ömürlü kampanyanın, yetişkinlere yönelik Android APK'ları veya bulut depolama araçlarıyla Ukrayna'nın Lviv kentindeki kullanıcıları hedef alan daha sonraki bir operasyonla bağlantılı olduğunu buldu.
Bu uygulamalar casus yazılım görevi görerek kurbanın gerçek zamanlı konumunu, arama kayıtlarını, kişi listesini ve resimlerini izleyerek bunları saldırganlara sızdırıyor.
SentinelLABS, "Ben robot değilim" ClickFix saldırılarına ilişkin herhangi bir atıf yapmazken araştırmacılar, WebSocket RAT'ın Rus altyapısında barındırıldığını ve yetişkin temalı kampanyanın Rusya/Belarus kaynak geliştirmeyle ilgili olabileceğini belirtiyor.
Ayrıca Google Tehdit İstihbarat Grubu'nun (GTIG) dün yayınladığı bir raporda, Rus istihbarat servisine (FSB) atfedilen bir tehdit grubu olan ColdRiver'a (diğer adıyla Star Blizzard, UNC4057, Callisto) atfedilen saldırılarda kullanılan kötü niyetli bir "Ben robot değilim" captcha sorgulaması anlatılıyor.
GTIG, araştırmacıların ColdRiver'ın siber casusluk faaliyetlerinde kullandığı eski araçları kamuya açık hale getirmesinin ardından bilgisayar korsanlarının yeni kötü amaçlı yazılım ailelerini hızlı bir şekilde kullanıma soktuğunun altını çizdi.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
TikTok videoları bilgi hırsızlarını ClickFix saldırılarına itmeye devam ediyor
Android kötü amaçlı yazılım, saldırganlara uygulamalı erişim sağlamak için VNC'yi kullanıyor
ClickFix'ten MetaStealer'a: Gelişen Tehdit Aktörü Tekniklerini İncelemek
İranlı bilgisayar korsanları Orta Doğu hükümet ağında 8 ay boyunca gizlendi
Sahte Homebrew ve LogMeIn sitelerine yönelik Google reklamları bilgi hırsızlarını harekete geçiriyor
Kaynak: Bleeping Computer