یک کمپین جدید با استفاده از حملات ClickFix با استفاده از دستورالعمل هایی که باعث ایجاد عفونت در هر یک از سیستم عامل می شود ، هر دو سیستم ویندوز و لینوکس را هدف قرار داده است.

ClickFix یک تاکتیک مهندسی اجتماعی است که در آن از سیستم های تأیید جعلی یا خطاهای برنامه برای فریب بازدید کنندگان وب سایت در اجرای دستورات کنسول که بدافزار نصب می شود ، استفاده می شود.

این حملات به طور سنتی سیستم های ویندوز را هدف قرار داده اند و اهداف را برای اجرای اسکریپت های PowerShell از دستور Windows Run و در نتیجه عفونت های بدافزار اطلاعات و حتی باج افزار ایجاد می کنند.

با این حال ، یک کمپین 2024 با استفاده از خطاهای Bogus Google نیز کاربران MACOS را هدف قرار داد.

کلیک کنید کاربران لینوکس را هدف قرار دهید

یک کمپین جدیدتر که هفته گذشته توسط محققان Hunt.io مورد توجه قرار گرفت ، اولین کسانی است که این تکنیک مهندسی اجتماعی را برای سیستم های لینوکس تطبیق می دهد.

این حمله که به گروه تهدید مرتبط با پاکستان APT36 (با نام “قبیله شفاف”) نسبت داده می شود ، از وب سایتی استفاده می کند که وزارت دفاع هند را با پیوند به بیانیه مطبوعاتی رسمی اعلام می کند.

هنگامی که بازدید کنندگان بر روی این لینک وب سایت کلیک می کنند ، برای تعیین سیستم عامل خود توسط این پلتفرم پروفایل می شوند و سپس به جریان حمله صحیح هدایت می شوند.

در ویندوز ، به قربانیان یک صفحه تمام صفحه ارائه می شود که به آنها در مورد حقوق استفاده از محتوای محدود هشدار می دهد. با کلیک بر روی “ادامه” JavaScript که یک دستور MSHTA مخرب را به کلیپ بورد قربانی کپی می کند ، که به او دستور داده می شود آن را در ترمینال ویندوز چسباند و اجرا کند.

این یک لودر مبتنی بر .NET را راه اندازی می کند که به آدرس مهاجم متصل می شود ، در حالی که کاربر یک فایل PDF Decoy را می بیند تا همه چیز قانونی و همانطور که انتظار می رود ظاهر شود.

در لینوکس ، قربانیان به صفحه Captcha هدایت می شوند که هنگام کلیک بر روی “من یک دکمه ربات نیستم” یک دستور پوسته را به کلیپ بورد خود کپی می کند.

سپس قربانی برای فشار دادن ALT+F2 هدایت می شود تا یک گفتگوی Run Linux را باز کند ، دستور را درون آن بچسبانید و سپس فشار دهید وارد کردن برای اجرای آن

این دستور بار “Mapeal.sh” را روی سیستم هدف قرار می دهد ، که طبق گفته Hunt.io ، هیچ اقدامات مخرب را در نسخه فعلی خود انجام نمی دهد ، محدود به واکشی تصویر JPEG از سرور مهاجم است.

“اسکریپت یک تصویر JPEG را از همان Trade4Wealth بارگیری می کند[.]در دایرکتوری و آن را در پس زمینه باز می کند ، “Hunt.io را توضیح می دهد.

“هیچ فعالیت اضافی ، مانند مکانیسم های پایداری ، حرکت جانبی یا ارتباطات برون مرزی ، در حین اجرا مشاهده نشد.”

با این حال ، این امکان وجود دارد که APT36 در حال حاضر در حال آزمایش برای تعیین اثربخشی زنجیره عفونت لینوکس باشد ، زیرا آنها فقط نیاز به تعویض تصویر برای اسکریپت پوسته برای نصب بدافزار یا انجام فعالیت های مخرب دیگر دارند.

اقتباس از ClickFix برای انجام حملات به لینوکس ، شهادت دیگری برای اثربخشی آن است ، زیرا اکنون نوع حمله در برابر هر سه سیستم عامل اصلی سیستم عامل دسک تاپ استفاده شده است.

به عنوان یک خط مشی کلی ، کاربران نباید بدون دانستن اینکه دقیقاً چه کاری انجام می دهد ، هیچ دستورات را کپی و چسباند. انجام این کار فقط خطر عفونت بدافزار و سرقت داده های حساس را افزایش می دهد.