Дослідники помітили нову шкідливу кампанію, що використовує ClickFix-атаки. Тепер зловмисники націлені і на користувачів Linux.

Атаки ClickFix являють собою різновид соціальної інженерії. Останнім часом різні варіації таких атак зустрічаються часто. Зазвичай жертв заманюють на шахрайські сайти і там обманом змушують виконувати шкідливі команди PowerShell, по суті, вручну заражаючи свою систему шкідливим ПЗ. Наприклад, зловмисники виправдовують необхідність виконання якихось команд вирішенням проблем з відображенням контенту в браузері або вимагають, щоб користувач вирішив фальшиву CAPTCHA.

Зазвичай такі атаки були спрямовані на системи під управлінням Windows, і жертві пропонують виконати PowerShell-скрипт, що призводить до зараження малваром. Однак у рамках нової кампанії, поміченої дослідниками Hunt.io, зловмисники вперше адаптували цю техніку під Linux-системи.

Кампанія, яку фахівці пов’язують із пакистанською хак-групою APT36 (вона ж Transparent Tribe), використовує фальшивий сайт Міністерства оборони Індії, що містить посилання на нібито офіційний прес-реліз. Коли відвідувачі потрапляють на цей сайт, платформа визначає їхню ОС і запускає відповідну атаку.

Команда запускає в системі користувача корисне навантаження mapeal.sh, яке, за даними дослідників, поки що не виконує жодних шкідливих дій, обмежуючись отриманням JPEG-зображення із сервера зловмисників у фоновому режимі (trade4wealth[.]in).

Експерти вважають, що наразі учасники APT36 просто перевіряють ефективність таких атак на Linux, оскільки для встановлення малварі та виконання інших шкідливих дій їм достатньо замінити зображення на шелл-скрипт.

Адаптація ClickFix для Linux – ще одне свідчення ефективності таких атак. Тепер варіації ClickFix існують для всіх трьох основних десктопних ОС. Річ у тім, що версія ClickFix для macOS була помічена ще в жовтні минулого року.