Хакеры начали проводить атаки ClickFix, нацеленные как на системы Windows, так и на Linux. Это тактика социальной инженерии, при которой поддельные системы проверки или ошибки приложений используются для обмана посетителей веб-сайта, чтобы заставить их запустить консольные команды, устанавливающие вредоносное ПО.
Ранее такие атаки традиционно были нацелены на системы Windows, побуждая пользователей выполнять скрипты PowerShell из команды Windows Run, что приводило к заражению вредоносным ПО для кражи информации и даже к установке программ-вымогателей. Однако в кампании 2024 года с использованием поддельных ошибок Google Meet хакеры также нацеливались на пользователей macOS.
Более поздняя кампания, обнаруженная исследователями Hunt.io на прошлой неделе, адаптировала этот метод социальной инженерии для систем Linux.
Атака, приписываемая связанной с Пакистаном группе APT36 (также известной как «Transparent Tribe»), использует веб-сайт, который выдаёт себя за ресурс минобороны Индии со ссылкой на якобы официальный пресс-релиз. Когда посетители нажимают на ссылку сайта, платформа профилирует их, чтобы определить операционную систему, а затем перенаправляет на специальную страницу.
В Windows жертвы видят полноэкранную страницу с предупреждением об ограниченных правах на использование контента. Нажатие «Продолжить» запускает JavaScript, который копирует вредоносную команду MSHTA в буфер обмена, которой предписывается вставить и выполнить на терминале Windows. Это запускает загрузчик на основе .NET, который подключается к адресу злоумышленника, в то время как пользователь видит поддельный PDF-файл.
В Linux жертвы перенаправляются на страницу CAPTCHA, которая копирует команду оболочки в их буфер обмена при нажатии кнопки «Я не робот». Затем пользователю предлагается нажать ALT+F2, чтобы открыть диалоговое окно запуска Linux, вставить в него команду и кликнуть Enter, чтобы выполнить её. Команда сбрасывает полезную нагрузку «mapeal.sh» в систему цели.
Она не выполняет никаких вредоносных действий в текущей версии, ограничиваясь извлечением изображения JPEG с сервера злоумышленника. «Скрипт загружает изображение JPEG из того же каталога trade4wealth[.]in и открывает его в фоновом режиме», — поясняют исследователи.
Однако возможно, что APT36 в настоящее время экспериментирует, чтобы определить эффективность цепочки заражения Linux. Хакерам достаточно будет заменить изображение на скрипт оболочки для установки ПО или выполнения другой вредоносной активности.
Пользователям не следует копировать и вставлять какие-либо команды в диалоговые окна «Выполнить», не зная, что это за команда.
Ранее группа хакеров TheWizards, связанная с Китаем, начала использовать функцию IPv6 для атак, которые позволяют перехватывать обновления программ и устанавливать вредоносное ПО на Windows. Цели атак — пользователи и организации на Филиппинах, в Камбодже, ОАЭ, Китае и Гонконге. Среди жертв — частные лица и компании, включая игорный бизнес.
