изображение: recraft
Исследователи из Hunt.io зафиксировали серию атак, в ходе которых группа APT36, также известная под названием «Transparent Tribe», применяет усовершенствованный приём социальной инженерии, ориентированный не только на пользователей Windows, но и на владельцев Linux-систем. Специалисты уточняют, что применяемая методика получила наименование ClickFix и заключается в манипулировании действиями пользователей через поддельные сообщения об ошибках или элементы интерфейса.
В одной из кампаний, которая активно распространялась в 2024 году, злоумышленники эксплуатировали фальшивое уведомление от Google Meet, чтобы воздействовать на владельцев macOS. Сценарий атаки был построен таким образом, чтобы побудить пользователя самостоятельно запустить вредоносный код. Сейчас те же приёмы адаптированы под Linux.
Эксперты Hunt.io подчёркивают, что новая волна атак маскируется под официальный сайт министерства обороны Индии, где публикуется фиктивный пресс-релиз. После перехода на ресурс система определяет тип устройства посетителя и перенаправляет его на соответствующую подделку. Если используется Windows, открывается экран с сообщением об ограниченном доступе к контенту, где при нажатии кнопки запускается скрипт JavaScript. Он копирует в буфер обмена вредоносную команду MSHTA, которую пользователь должен самостоятельно вставить в терминал. В результате начинается загрузка вредоносного ПО через загрузчик на платформе .NET. Параллельно отображается фальшивый PDF-документ, что помогает скрыть следы заражения.
Для Linux-сред в этом сценарии предусмотрена другая последовательность действий. Жертву направляют на страницу с поддельной CAPTCHA. При нажатии кнопки «Я не робот» в буфер обмена копируется команда оболочки, которая, как предполагается, должна быть вставлена в окно запуска с помощью ALT+F2. Этим действием запускается скрипт под названием «mapeal.sh», который внедряется в систему.
На текущем этапе, по наблюдениям специалистов Hunt.io, вредоносный скрипт не выполняет разрушительных функций. Он только загружает изображение в формате JPEG с внешнего ресурса, размещённого по адресу trade4wealth[.]in, и открывает его в фоне. Несмотря на это, исследователи подчёркивают, что такая демонстрация может служить прикрытием для последующего обновления скрипта, включающего полноценную вредоносную активность.
Оригинал публикации на сайте CISOCLUB: "Хакеры отрабатывают сценарии атак ClickFix против пользователей Linux, применяя социальную инженерию на фальшивых сайтах".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
