Исследователи заметили новую вредоносную кампанию, использующую ClickFix-атаки. Теперь злоумышленники нацелены и на пользователей Linux.
Атаки ClickFix представляют собой разновидность социальной инженерии. В последнее время различные вариации таких атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют выполнять вредоносные команды PowerShell, по сути, вручную заражая свою систему вредоносным ПО. К примеру, злоумышленники оправдывают необходимость выполнения неких команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA.
Обычно такие атаки были направлены на системы под управлением Windows, и жертве предлагают выполнить PowerShell-скрипт, что приводит к заражению малварью. Однако в рамках новой кампании, замеченной исследователями Hunt.io, злоумышленники впервые адаптировали эту технику под Linux-системы.
Кампания, которую специалисты связывают с пакистанской хак-группой APT36 (она же Transparent Tribe), использует фальшивый сайт Министерства обороны Индии, содержащий ссылку на якобы официальный пресс-релиз. Когда посетители попадают на этот сайт, платформа определяет их ОС и запускает соответствующую атаку.
Так, пользователям Windows показывают полноэкранную страницу с предупреждением об ограниченных правах на использование контента. При нажатии на кнопку «Продолжить» запускается JavaScript, который копирует вредоносную команду MSHTA в буфер обмена жертвы, предлагая вставить и выполнить ее в терминале Windows.
В результате запускается загрузчик на базе .NET, который подключается к адресу атакующих, а пользователь видит PDF-файл, который должен усыпить его бдительность и придать происходящему видимое правдоподобие.
Если же посетитель использует Linux, его перенаправляют на страницу с фальшивой CAPTCHA, где при нажатии кнопки «Я не робот» в буфер обмена копируется шелл-команда. Затем жертве предлагается нажать ALT+F2, вставить команду и нажать Enter для ее выполнения.
Команда запускает в системе пользователя полезную нагрузку mapeal.sh, которая, по данным исследователей, пока не выполняет никаких вредоносных действий, ограничиваясь получением JPEG-изображения с сервера злоумышленников в фоновом режиме (trade4wealth[.]in).
Эксперты полагают, что в настоящее время участники APT36 просто проверяют эффективность таких атак на Linux, поскольку для установки малвари и выполнения других вредоносных действий им достаточно заменить изображение на шелл-скрипт.
Адаптация ClickFix для Linux — еще одно свидетельство эффективности таких атак. Теперь вариации ClickFix существуют для всех трех основных десктопных ОС. Дело в том, что версия ClickFix для macOS была замечена еще в октябре прошлого года.
