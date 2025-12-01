Siber güvenlik uzmanları, Windows kullanıcılarını hedef alan yeni bir kötü amaçlı girişimin yaygınlaşmaya başladığını tespit etti. ClickFix olarak adlandırılan bir yönteme dayanan bu girişimde kullanıcılar sahte bir Windows güncellemesi ile hedef alıyor. Son derece gerçekçi görünmesi dolayısıyla kolay bir şekilde bir kurban hâline gelinebiliyor.

ClickFix Yöntemi Nasıl Çalışıyor?

Siber güvenlik uzmanları tarafından paylaşılan bilgilere göre kötü amaçlı kişiler, öncelikle kullanıcılara son derece gerçekçi görünen bir sahte Windows güncelleme ekranı sunuyor. Bu ekran genellikle web sitelerinde aniden beliriyor. Bunlara yanlışlıkla tıklanması hâlinde tarayıcı güncellemenin yüzde 95'te takılı kaldığını gösteriyor.

Bilgisayar korsanları, sözde güncellemenin tamamlanması için kullanıcıdan Windows ve R tuşlarına aynı anda basarak Çalıştır'ı açmasını ve "Aç" kısmına özel bir komutu yapıştırıp kodu çalıştırmasını istiyor. Bu süreçten de anlaşılacağı üzere yöntem özellikle kullanıcıyı kandırarak hedefe ulaşmayı amaçlayan sosyal mühendislik taktiğine dayanıyor.

Kullanıcının Windows 11 mi yoksa Windows 10 mu kullandığının hiçbir önemi bulunmuyor. Çalıştır'a belirtilen komutu yapıştırdıktan sonra arka planda Windows'la birlikte gelen araç mshta çalışmaya başlıyor ve kullanıcı farkında olmadan sunucudan dosyaları indirmeye başlıyor. Kötü amaçlı yazılım, bu kötü amaçlı girişimin güvenlik duvarı ya da antivirüs programları tarafından yakalanmasını zorlaştırmak içinse pek çok gereksiz komut içeriyor.

Kodların bir kısmı PNG görselinin içine gizli bir şekilde geliyor. Zararlı yazılım, gizlenmiş kodu çekip .NET (Yazılım Geliştirme Platformu) kullanarak bilgisayarda yayılmaya başlıyor. Sistem üzerinde tam kontrol elde ettikten sonra ikinci aşamaya geçiliyor. Bu aşamada kullanıcının kayıtlı şifreleri, çerezleri, finansal bilgileri, kripto cüzdan verileri ve çok daha fazlası toplanıp bilgisayar korsanlarına gönderiliyor.

Bu kötü amaçlı girişimin ekim ayında başladığı ve hâlâ devam ettiği belirtiliyor. Bunu kullanıcılar açısından tehlikeli yapan nokta ise çoğu kullanıcının aşina olduğu güvenlik tedbirlerini tamamen yıkması. Bu alışagelmişin dışındaki yöntem, sadece bir web sitesiyle sizi kandırıp tehlikeli komutu çalıştırmanızı sağlıyor. Güvenlik uzmanları, bu nedenle özellikle bir komut çalıştırmanızın gerektiğine yönelik uyarılara karşı dikkatli olmanızı tavsiye ediyor.