Хакеры начали тестировать атаки ClickFix против пользователей Linux

Хакеры начали проводить атаки ClickFix, нацеленные как на системы Windows, так и на Linux. Это тактика социальной инженерии, при которой поддельные системы проверки или ошибки приложений используются для обмана посетителей веб-сайта, чтобы заставить их запустить консольные команды, устанавливающие вредоносное ПО.

Ранее такие атаки традиционно были нацелены на системы Windows, побуждая пользователей выполнять скрипты PowerShell из команды Windows Run, что приводило к заражению вредоносным ПО для кражи информации и даже к установке программ-вымогателей. Однако в кампании 2024 года с использованием поддельных ошибок Google Meet хакеры также нацеливались на пользователей macOS.

Более поздняя кампания, обнаруженная исследователями Hunt.io на прошлой неделе, адаптировала этот метод социальной инженерии для систем Linux.

Атака, приписываемая связанной с Пакистаном группе APT36 (также известной как «Transparent Tribe»), использует веб-сайт, который выдаёт себя за ресурс минобороны Индии со ссылкой на якобы официальный пресс-релиз. Когда посетители нажимают на ссылку сайта, платформа профилирует их, чтобы определить операционную систему, а затем перенаправляет на специальную страницу.

В Windows жертвы видят полноэкранную страницу с предупреждением об ограниченных правах на использование контента. Нажатие «Продолжить» запускает JavaScript, который копирует вредоносную команду MSHTA в буфер обмена, которой предписывается вставить и выполнить на терминале Windows. Это запускает загрузчик на основе .NET, который подключается к адресу злоумышленника, в то время как пользователь видит поддельный PDF-файл.

В Linux жертвы перенаправляются на страницу CAPTCHA, которая копирует команду оболочки в их буфер обмена при нажатии кнопки «Я не робот».