Sahte Windows güncellemesi, bilgisayarınızı nasıl ele geçiriyor?
Hacker'lar, kullanıcıları tam ekran tarayıcı sayfasındaki sahte güncelleme uyarısıyla tuzağa düşürüyor. Saldırganlar, kurbanın belirli tuşlara basarak zararlı komutları çalıştırmasını sağlıyor. Bu sosyal mühendislik taktiği, LummaC2 ve Rhadamanthys gibi karmaşık yazılımları sisteme sızdırıyor.
Siber suçlular, basit bir sosyal mühendislik taktiği kullanarak en karmaşık zararlı yazılımları bile kullanıcıların sistemlerine sızdırmanın yeni bir yolunu buldu. Bu yöntemin temelinde, kurbanları aldatmak için tam ekran tarayıcı sayfalarında meşru görünen Windows Update ekranlarını taklit etmek yatıyor.
Huntress araştırmacıları Ben Folland ve Anna Pham'ın bulduğu, “ClickFix” olarak adlandırılan bu saldırılar, kullanıcıları sahte güncelleme uyarısı ile Windows’ta komutlar çalıştırmaya ikna ediyor. Bu, kullanıcının sisteme bilinçli olarak müdahale etmesini sağladığı için geleneksel sistem korumalarını kolayca aşmasını sağlıyor.
Uzmanlar, bazı durumlarda saldırganların kurbanlara belirli tuşlara basma talimatı verdiğini ve bu tuşların otomatik olarak zararlı komutları Windows Çalıştır (Run) kutusuna yapıştırdığını bildiriyor. Bu komutlar daha sonra zararlı yazılımın yürütülmesini tetikliyor ve hem bireysel hem de kurumsal sistemleri etkiliyor.
Görünmez yükler ve tespit zorlukları
Bu saldırılarda zararlı yazılım yüklerinin gizlenme yöntemi, tehdit tespitini yeni bir boyuta taşıyor: Steganografi. Saldırganlar, zararlı yazılım yüklerini PNG resimlerinin içine gizliyor ve AES ile şifreliyor. Ardından, Stego Loader adı verilen bir .NET derlemesi bu yükü yeniden yapılandırıyor.
Bu yükleyici, özel C# rutinlerini kullanarak gizlenen shellcode'u çıkarıyor ve Donut aracıyla yeniden paketliyor. Bu sayede VBScript, JScript, EXE, DLL dosyaları ve .NET derlemeleri tamamen sistem belleğinde çalışabiliyor. Bellek içi yürütme, geleneksel disk tabanlı antivirüs taramalarını büyük ölçüde atlatıyor.
Analistler, bu karmaşık yöntemle dağıtılan zararlı yazılımların LummaC2 ve Rhadamanthys gibi bilinen varyantları olduğunu tespit etti. Zararlı yazılım dağıtımının geleneksel çalıştırılabilir dosyalardan steganografiye kayması, tehdit tespit ve olay müdahale ekipleri için yeni bir zorluk yaratıyor. Ayrıca saldırganlar, analizi zorlaştırmak için binlerce boş işlevi çağıran ctrampoline gibi dinamik kaçınma taktikleri de uyguluyor.
Sahte Windows Güncelleme isteklerini kullanan bir varyant Ekim 2025'te tespit edildi ve kolluk kuvvetleri Kasım ayında Operation Endgame aracılığıyla kullanılan altyapının bir kısmını çökertmeyi başardı. Bu operasyon, zararlı alan adları aracılığıyla son yüklemeleri engellemiş olsa da, sahte güncelleme sayfaları hala aktif kalmaya devam ediyor. Saldırılar, kullanıcıları komutları yürütmeye ikna etmek için insan doğrulama istemleri ve güncelleme animasyonları arasında geçiş yaparak gelişmeye devam ediyor.
Araştırmacılar, kurumların bu tür saldırılardan korunması için süreci izleme zincirlerini dikkatle takip etmesini tavsiye ediyor. Özellikle explorer.exe'nin mshta.exe veya PowerShell gibi süreçleri başlattığı şüpheli aktivitelerin izlenmesi gerekiyor. Ayrıca, yürütülen komutları tespit etmek için RunMRU kayıt defteri anahtarı incelenebilir.
Kuruluşların maruziyeti sınırlamak adına zararlı yazılım kaldırma uygulamalarını antivirüs taraması ve güvenlik duvarı korumasıyla birleştirmesi öneriliyor. Mümkün olan yerlerde Windows Çalıştır kutusunun devre dışı bırakılması ve görüntü tabanlı yüklerin dikkatlice incelenmesi de ek önlemler arasında yer alıyor.
İşletmeler, görüntü ve komut dosyaları gibi meşru görünen varlıkların silah haline getirilmesinden kaynaklanan riskleri hesaba katmalıdır. Bu durum, günlük kaydı, izleme ve adli analiz süreçlerini zorlaştırıyor. Ayrıca, tedarik zinciri güvenliği ve saldırganların güvenilir güncelleme mekanizmalarını giriş noktası olarak kullanma potansiyeli hakkında endişeleri artırıyor.