Специалисты по кибербезопасности из Hunt.io выявили новую модификацию известных ClickFix-атак, впервые нацеленную на пользователей операционной системы Linux. Данная вредоносная кампания связывается с действиями хакерской группировки APT36 (также известной как Transparent Tribe) и демонстрирует эволюцию методов социальной инженерии в киберпреступном мире.
Механизм атаки и особенности социальной инженерии
ClickFix-атаки представляют собой сложную форму социальной инженерии, где злоумышленники манипулируют пользователями, побуждая их самостоятельно выполнять вредоносные команды. В рамках новой кампании используется поддельный веб-сайт, имитирующий ресурс Министерства обороны Индии. Система автоматически определяет операционную систему посетителя и запускает соответствующий сценарий атаки.
Особенности атаки на разные операционные системы
Атака на Windows
При обнаружении Windows-системы злоумышленники демонстрируют экран с предупреждением об ограниченном доступе к контенту. После нажатия кнопки «Продолжить» в буфер обмена копируется вредоносная MSHTA-команда, запускающая .NET-загрузчик для связи с командным центром атакующих.
Атака на Linux
Для пользователей Linux реализован другой сценарий: жертве показывается поддельная CAPTCHA-форма. При попытке подтвердить, что пользователь не робот, в буфер обмена копируется shell-команда. Злоумышленники инструктируют жертву использовать комбинацию ALT+F2 для выполнения вредоносного кода, который загружает файл mapeal.sh.
Текущие риски и потенциальные угрозы
На данный момент Linux-версия атаки ограничивается загрузкой JPEG-изображения с сервера злоумышленников (trade4wealth[.]in). Однако эксперты предупреждают, что это может быть тестовой фазой кампании. Простая замена изображения на вредоносный shell-скрипт позволит атакующим выполнять любые команды в системе жертвы.
Расширение ClickFix-атак на Linux-системы, после ранее обнаруженной версии для macOS, свидетельствует о растущей угрозе для всех популярных десктопных операционных систем. Специалисты рекомендуют пользователям проявлять повышенную бдительность при посещении веб-сайтов и никогда не выполнять команды из непроверенных источников, даже если они кажутся необходимыми для доступа к контенту.
