Команда дослідників Hunt.io виявила модифіковану версію відомих ClickFix-атак, яка вперше спрямована на користувачів операційної системи Linux. За даними експертів, за цією кампанією стоїть хакерське угруповання APT36 (Transparent Tribe), що демонструє значне розширення арсеналу кіберзагроз та еволюцію методів соціальної інженерії.
Технічний аналіз механізму атаки
ClickFix-атаки використовують складні методи соціальної інженерії для маніпулювання користувачами. Зловмисники створили фішинговий веб-сайт, що імітує офіційний ресурс Міністерства оборони Індії. Особливістю атаки є автоматичне визначення операційної системи відвідувача та застосування відповідного сценарію компрометації.
Особливості векторів атаки для різних платформ
Механізм атаки на Windows-системи
При виявленні Windows-системи користувачу демонструється попередження про обмежений доступ. Після взаємодії з інтерфейсом, до буфера обміну копіюється шкідлива MSHTA-команда, яка завантажує .NET-модуль для встановлення зв’язку з командним центром атакуючих.
Специфіка атаки на Linux-системи
Для Linux-користувачів реалізовано унікальний сценарій з використанням підробленої CAPTCHA-форми. При спробі верифікації в буфер обміну автоматично копіюється shell-команда. Зловмисники спонукають жертву використати комбінацію ALT+F2 для виконання шкідливого коду, який ініціює завантаження файлу mapeal.sh.
Оцінка ризиків та потенційних наслідків
На поточному етапі Linux-варіант атаки обмежується завантаженням JPEG-файлу з серверу trade4wealth[.]in. Проте експерти з кібербезпеки попереджають, що це може бути лише тестовою фазою масштабнішої кампанії. Проста заміна завантажуваного контенту на шкідливий shell-скрипт відкриє зловмисникам повний доступ до системи жертви.
Розширення вектору ClickFix-атак на Linux-платформу, після виявлення версії для macOS, свідчить про зростаючу загрозу для всіх популярних операційних систем. Фахівці наголошують на необхідності підвищеної пильності при роботі в мережі та категорично не рекомендують виконувати команди з неперевірених джерел, навіть якщо вони здаються необхідними для отримання доступу до контенту. Регулярне оновлення систем безпеки та навчання персоналу щодо розпізнавання фішингових атак залишаються ключовими елементами захисту від подібних загроз.
