Μια νέα εκστρατεία που χρησιμοποιεί επιθέσεις τύπου ClickFix εντοπίστηκε να στοχεύει τόσο συστήματα Windows όσο και Linux, χρησιμοποιώντας οδηγίες που καθιστούν δυνατή τη μόλυνση και στα δύο λειτουργικά συστήματα.
Δείτε επίσης: Παραβίαση του site iClicker στόχευσε φοιτητές μέσω CAPTCHA
Το ClickFix είναι μια τεχνική social engineering, κατά την οποία χρησιμοποιούνται ψεύτικα μηνύματα επαλήθευσης ή σφάλματα εφαρμογών για να παραπλανηθούν οι επισκέπτες ιστοσελίδων ώστε να εκτελέσουν εντολές στο τερματικό, οι οποίες εγκαθιστούν κακόβουλο λογισμικό.
Οι επιθέσεις αυτού του τύπου στο παρελθόν στόχευαν κυρίως συστήματα Windows, προτρέποντας τους χρήστες να εκτελέσουν PowerShell scripts μέσω της εντολής “Run“, οδηγώντας σε μολύνσεις με malware τύπου info-stealer ή ακόμη και ransomware. Ωστόσο, μια εκστρατεία του 2024 που χρησιμοποιούσε ψεύτικα σφάλματα του Google Meet στόχευσε επίσης και χρήστες macOS.
Μια πιο πρόσφατη εκστρατεία επιθέσεων ClickFix, την οποία εντόπισαν οι ερευνητές του Hunt.io την περασμένη εβδομάδα, είναι από τις πρώτες που προσαρμόζουν αυτήν την τεχνική social engineering για συστήματα Linux.
Η επίθεση αποδίδεται στην ομάδα κυβερνοκατασκοπείας APT36, που συνδέεται με το Πακιστάν (γνωστή και ως “Transparent Tribe“), και χρησιμοποιεί έναν ιστότοπο που προσποιείται ότι ανήκει στο Υπουργείο Άμυνας της Ινδίας, περιλαμβάνοντας σύνδεσμο προς ένα υποτιθέμενο επίσημο δελτίο τύπου. Όταν ο επισκέπτης κάνει κλικ στον σύνδεσμο, η πλατφόρμα αναλύει το λειτουργικό του σύστημα και τον ανακατευθύνει ανάλογα στην κατάλληλη ροή επίθεσης.
Σε συστήματα Windows, εμφανίζεται μια σελίδα σε πλήρη οθόνη με προειδοποίηση για περιορισμούς στη χρήση περιεχομένου. Με το πάτημα του κουμπιού “Continue“, εκτελείται JavaScript που αντιγράφει μια κακόβουλη εντολή MSHTA στο πρόχειρο του χρήστη, με οδηγίες να την επικολλήσει και να την εκτελέσει στο τερματικό των Windows.
Δείτε ακόμα: ClickFix: Οι hackers COLDRIVER διανέμουν το malware LOSTKEYS
Αυτό ενεργοποιεί έναν φορτωτή βασισμένο στο .NET που συνδέεται με τη διεύθυνση του επιτιθέμενου, ενώ ταυτόχρονα προβάλλεται ένα αρχείο PDF-δόλωμα ώστε όλα να φαίνονται νόμιμα και αναμενόμενα.
Σε συστήματα Linux, το θύμα ανακατευθύνεται σε σελίδα CAPTCHA, όπου με το πάτημα του κουμπιού “Δεν είμαι ρομπότ“, αντιγράφεται αυτόματα μια εντολή shell στο πρόχειρο. Στη συνέχεια, ο χρήστης καθοδηγείται να πατήσει ALT+F2 για να ανοίξει τον διάλογο εκτέλεσης εντολών του Linux, να επικολλήσει την εντολή και να πατήσει Enter για την εκτέλεσή της.
Η εντολή εγκαθιστά το αρχείο «mapeal.sh» στο σύστημα του στόχου, το οποίο, σύμφωνα με το Hunt.io, στην τρέχουσα έκδοσή του δεν εκτελεί καμία κακόβουλη ενέργεια, παρά μόνο κατεβάζει μια εικόνα JPEG από τον διακομιστή του επιτιθέμενου. Ωστόσο, είναι πιθανό η ομάδα APT36 να βρίσκεται σε φάση πειραματισμού, εξετάζοντας την αποτελεσματικότητα της αλυσίδας μόλυνσης σε Linux. Αρκεί να αντικατασταθεί η εικόνα με ένα shell script για να εγκατασταθεί κακόβουλο λογισμικό ή να πραγματοποιηθούν άλλες επιβλαβείς ενέργειες.
Η προσαρμογή της τεχνικής ClickFix για επιθέσεις σε Linux αποτελεί ακόμη μία απόδειξη της αποτελεσματικότητάς της, καθώς πλέον έχει χρησιμοποιηθεί και στις τρεις κύριες πλατφόρμες επιτραπέζιων λειτουργικών συστημάτων.
Ως γενικός κανόνας, οι χρήστες δεν θα πρέπει ποτέ να αντιγράφουν και να επικολλούν εντολές σε διαλόγους εκτέλεσης (Run) χωρίς να γνωρίζουν ακριβώς τι κάνει η εντολή. Μια τέτοια ενέργεια αυξάνει σημαντικά τον κίνδυνο μόλυνσης από κακόβουλο λογισμικό και κλοπής ευαίσθητων δεδομένων.
Δείτε επίσης: Ο MintsLoader διανέμει το GhostWeaver μέσω Phishing, ClickFix
Οι επιθέσεις τύπου ClickFix αποδεικνύουν πόσο αποτελεσματική μπορεί να είναι η τενική social engineering ως εργαλείο για την παράκαμψη τεχνικών μέτρων ασφαλείας. Δεν απαιτούν εκμετάλλευση κάποιας ευπάθειας στο σύστημα, αλλά βασίζονται αποκλειστικά στο να πείσουν τον ίδιο τον χρήστη να εκτελέσει κακόβουλες εντολές, προσποιούμενες ότι είναι μέρος μιας νόμιμης διαδικασίας. Το γεγονός ότι πλέον τέτοιες επιθέσεις προσαρμόζονται για Linux, πέρα από τα Windows και macOS, δείχνει πως κανένα λειτουργικό σύστημα δεν είναι απόλυτα ασφαλές όταν ο “αδύναμος κρίκος” είναι ο άνθρωπος πίσω από την οθόνη.
Πηγή: bleepingcomputer
