ClickFix: WordPress Sitelerini Hedef Alan Yeni Nesil Infostealer Saldırıları
ClickFix saldırıları %517 arttı. 250+ WordPress sitesi enfekte edildi, 3 yeni infostealer tespit edildi. Bellek içi çalışma ile tespitten kaçınıyor.
Siber suçlular, yeni nesil infostealer malware yaymak için compromised web siteleri ile gelişmiş social engineering tekniklerini birleştiriyor. ClickFix olarak bilinen bu saldırı yöntemi son derece etkili: Tek bir kampanyada 12 ülkede 250'den fazla WordPress sitesi enfekte edildi.
🎯 Otomatize WordPress Saldırıları
Aralık 2025'ten beri aktif olan bu WordPress kampanyası, ziyaretçileri sahte Cloudflare CAPTCHA sorgularıyla karşılaştırıyor. Rapid7 güvenlik araştırmacılarının raporuna göre, compromised siteler arasında bölgesel haber portalları, yerel işletme web siteleri ve hatta bir ABD Senatosu adayının resmi web sitesi de bulunuyor.
Saldırganlar, JavaScript kodlarını performans optimizasyonu olarak maskeliyor. Bu kod yalnızca ziyaretçinin tarayıcısında WordPress admin cookie'si yoksa devreye giriyor, böylece malware site yöneticilerinden gizleniyor.
🔓 Üç Farklı Payload
Teknik olarak, WordPress ClickFix kampanyası üç ayrı infostealer payload'ı dağıtıyor – bunlardan ikisi daha önce bilinmiyordu. Saldırganlar, Temmuz 2025'ten beri var olan bir domain altyapısı kullanıyor.
Sahte CAPTCHA sorgusu, ziyaretçilerden bir komutu kopyalayıp Windows Çalıştır dialoguna yapıştırmalarını istiyor. Bu komut, obfuscated JavaScript ve PowerShell kodundan oluşuyor ve DoubleDonut Loader'ı bellekte başlatıyor.
💀 Bellek İçi Çalışma ile Tespitten Kaçınma
DoubleDonut Loader, zararlı kodu doğrudan meşru Windows süreçlerine enjekte ediyor. Rapid7 uzmanları, "Malware zinciri neredeyse tamamen bellek içinde ve göze çarpmayan Windows süreçleri bağlamında çalıştırılıyor, bu da geleneksel dosya tabanlı tespiti etkisiz hale getiriyor" açıklamasını yaptı.
🦠 Vidar Stealer ve Yeni Varyantlar
DoubleDonut Loader'ın, bilinen infostealer'lardan Vidar Stealer'ın yeni bir varyantını dağıttığı gözlemlendi. Bu varyant, command-and-control konfigürasyonunu ve dinamik API çözümlemesini belirlemek için Dead-Drop Resolver tekniğini kullanıyor.
Araştırmacılar ayrıca daha önce belgelenmemiş iki infostealer keşfetti:
- Impure Stealer (.NET ile yazılmış)
- VodkaStealer (C++ ile yazılmış)
Her iki program da özel tespit önleme teknikleri kullanıyor: Olağandışı veri kodlama, iletişim için simetrik şifreleme ve sistem/zaman tabanlı kontrollerle sandbox tespiti.
📈 517% Artış Gösteren Saldırılar
ESET güvenlik şirketi, ClickFix saldırılarının geçen yıl %517 artış gösterdiğini tahmin ediyor. CrashFix, ConsentFix ve PhantomCaptcha gibi varyantlar farklı yemler ve dağıtım mekanizmaları ile çalışıyor.
Bu social engineering taktiği o kadar etkili oldu ki, Kuzey Kore'li Lazarus Group, İran'lı MuddyWater ve Rus APT28 gibi devlet destekli gruplar tarafından da benimsendi. Sekoia araştırmacıları, IClickFix adlı başka bir ClickFix framework'ünün 2024'ten beri 3.800'den fazla WordPress sitesine sızdırıldığını bildirdi.
🛡️ Korunma Önerileri
WordPress site yöneticileri için kritik öneriler:
- Admin login alanlarını herkese açık hale getirmeyin
- Rapid7'nin GitHub repository'sinde paylaştığı IOC (Indicators of Compromise) ve YARA kurallarını kullanın
- WordPress ve eklentilerinizi güncel tutun
- Güçlü kimlik doğrulama yöntemleri uygulayın
Kaynak: csoonline.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.