Interlock Fidye Yazılımı Grubu, ClickFix Saldırılarıyla Sahte BT Araçları Sunuyor
Siber güvenlik uzmanları, Interlock adlı fidye yazılımı grubunun ClickFix adlı sosyal mühendislik taktiğiyle yeni saldırılar düzenlediğini ortaya çıkardı. Bu yöntemle, kurbanlara sahte BT araçları sunuluyor ve sistemlerine tehlikeli PowerShell komutları çalıştırmaları sağlanıyor. Bu komutlar sonucunda, fidye yazılımı bulaştırılıyor.
ClickFix ve Interlock Nedir?
ClickFix, bir sosyal mühendislik tekniğidir. Kullanıcıya, bilgisayarında çıkan hayali bir hatayı düzeltmesi ya da kimliğini doğrulaması gerektiği söylenir. Bu amaçla bir komut çalıştırması istenir. Kurban bu komutu uyguladığında, sisteme kötü amaçlı yazılım yüklenir. Interlock’un bu yöntemi 2025 Ocak ayından beri aktif olarak kullandığı belirtiliyor.
Interlock, 2024 yılının Eylül ayında ortaya çıkan bir fidye yazılımı operasyonudur. FreeBSD sunucuları ve Windows sistemlerini hedef almaktadır. Ransomware-as-a-Service (RaaS) modeliyle çalışmasa da, karanlık ağda bir veri sızdırma portalı işletiyor. Bu portal üzerinden baskı kurularak kurbanlardan yüz binlerce hatta milyonlarca dolarlık fidye talepleri iletiliyor.
Sahte BT Araçlarıyla Yapılan Saldırılar Artıyor
Interlock daha önce sahte tarayıcı güncellemeleri ve VPN istemcileri ile sisteme sızıyordu. Yeni saldırı dalgasında ise sahte CAPTCHA ekranları ve tanıdık araç isimleri kullanılıyor. Saldırganların kullandığı sahte sitelerden bazıları şunlar:
microsoft-msteams[.]com/additional-check.htmlmicrostteams[.]com/additional-check.htmlecologilives[.]com/additional-check.htmladvanceipscaner[.]com/additional-check.html
Özellikle Advance IP Scanner aracını taklit eden site, kullanıcıyı kandırarak 36 MB’lık bir PyInstaller yükleyici indirtiyor. Bu yükleyici:
- Gerçek yazılımın çalışabilir sürümünü kuruyor (şüpheyi azaltmak için),
- Aynı anda gizli bir PowerShell komut dosyası çalıştırıyor.
Bu gizli komut:
- Sistem bilgilerini topluyor (işletim sistemi, kullanıcı yetkileri, çalışan işlemler, sürücüler),
- Kalıcılık sağlamak için Windows Kayıt Defteri’ne Run anahtarı ekliyor,
- Toplanan verileri saldırganın sunucusuna gönderiyor.
Sekoia araştırmacıları, bu saldırılar sırasında sisteme indirilen zararlı yazılımlar arasında şunların bulunduğunu belirtti:
- LummaStealer ve BerserkStealer (veri hırsızlığı),
- Keylogger (tuş kaydedici),
- Interlock RAT (uzaktan erişim truva atı)
Interlock RAT, komut satırı çalıştırma, dosya sızdırma ve kötü amaçlı DLL dosyalarını çalıştırma gibi işlevler içeriyor. İlk bulaşmadan sonra saldırganlar, RDP, PuTTY, AnyDesk ve LogMeIn gibi araçlarla ağ içinde yatay hareket ediyor.
Son adımda, veriler saldırganlara ait Azure Blob sunucularına yükleniyor. Ardından her akşam saat 20.00’de çalışan bir görevle fidye yazılımı devreye giriyor. Yeni Interlock fidye notları, artık yasal yaptırımlar ve veri ihlali sonuçlarına daha fazla odaklanıyor. Kurbanlara, verilerin sızdırılması hâlinde karşılaşabilecekleri regülasyon cezaları hatırlatılıyor.
Interlock dışında, Kuzey Koreli Lazarus grubu da dahil olmak üzere birçok tehdit aktörü ClickFix yöntemini kullanıyor. Özellikle kripto para sektöründe iş arayan kişilere yönelik sahte işe alım siteleriyle bu taktiği uyguladıkları biliniyor.
