安全研究人员发现一种新型攻击活动正利用ClickFix技术同时针对Windows和Linux系统,通过特定指令实现在两种操作系统上的感染。
Part01
ClickFix攻击技术解析
ClickFix是一种社会工程学攻击手段,攻击者通过伪造验证系统或应用程序错误提示,诱骗网站访客执行会安装恶意软件的终端命令。这类攻击传统上主要针对Windows系统,诱使目标通过Windows运行命令执行PowerShell脚本,最终导致信息窃取型恶意软件感染甚至勒索病毒攻击。
值得注意的是,2024年出现的一起利用虚假Google Meet错误提示的攻击活动,首次将macOS用户也纳入了攻击范围。
Part02
Linux系统成为新目标
网络安全公司Hunt.io的研究人员上周发现,与巴基斯坦有关联的黑客组织APT36(又称"Transparent Tribe")正在将这种社会工程学技术适配到Linux系统。攻击者创建了一个仿冒印度国防部官网的钓鱼网站,其中包含所谓"官方新闻稿"的链接。
仿冒印度国防部的恶意网站 来源:Hunt.io
当访问者点击该链接时,网站会先识别其操作系统类型,然后跳转到对应的攻击流程:
-
Windows用户:会看到全屏页面警告内容使用权限受限。点击"继续"后,JavaScript会将恶意MSHTA命令复制到剪贴板,诱导用户在Windows终端中粘贴执行。该命令会启动基于.NET的加载器连接攻击者服务器,同时向用户显示伪装成PDF文件的诱饵内容。
-
Linux用户:会被重定向到验证码页面,点击"我不是机器人"按钮时,系统会将shell命令复制到剪贴板。攻击者随后指导用户按ALT+F2打开Linux运行对话框,粘贴并执行该命令。
针对Linux用户的攻击指引 来源:Hunt.io
Part03
攻击载荷分析
该命令会在目标系统部署名为"mapeal.sh"的载荷。根据Hunt.io的分析,当前版本尚未执行任何恶意行为,仅会从攻击者服务器获取JPEG图片。
Linux系统ClickFix脚本 来源:BleepingComputer
研究人员指出:"该脚本会从trade4wealth[.]in目录下载JPEG图片并在后台打开。在执行过程中未观察到持久化机制、横向移动或外联通信等额外活动。"
安全专家认为,APT36组织可能正在测试Linux感染链的有效性。攻击者只需将图片替换为shell脚本,就能实现恶意软件安装或其他恶意操作。ClickFix技术成功适配Linux系统,标志着这种攻击方式已覆盖三大主流桌面操作系统平台。
用户应避免在不知情的情况下通过运行对话框执行任何命令,这种行为会大幅增加感染恶意软件和敏感数据泄露的风险。
参考来源:
Hackers now testing ClickFix attacks against Linux targets
https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/
推荐阅读
电台讨论
原文始发于微信公众号(FreeBuf):黑客手段更新:新型ClickFix攻击技术同时针对Windows和Linux系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论