Se ha identificado una nueva campaña que utiliza ataques ClickFix dirigidos a Windows y Linux utilizando instrucciones que hacen que las infecciones a uno u otro sistema operativo sea posible.
ClickFix es una táctica de ingeniería social donde se utilizan sistemas de verificación falsos o errores de aplicación para alentar a los visitantes del sitio web a ejecutar comandos de consola que instalen malware.
Estos ataques se han dirigido tradicionalmente a los sistemas de Windows, alentando objetivos a ejecutar scripts de PowerShell desde el comando Windows ejecutar, causando infecciones maliciosas del ladrón de información e incluso el ransomware.
Sin embargo, una campaña de 2024 que usa falsos errores de citas de Google también ha dirigido a los usuarios de MacOS.
ClickFix dirigirse a usuarios de Linux
Una campaña más reciente identificada por Investigadores de Hunt.io La semana pasada es una de las primeras en adaptar esta técnica de ingeniería social para los sistemas Linux.
El ataque, que se atribuye al grupo de amenazas vinculadas a Pakistán, APT36 (alias “tribu transparente”), utiliza un sitio web que imita al Ministerio de Defensa de la India con un enlace a un comunicado de prensa oficial llamado.
Fuente: Hunt.io
Cuando los visitantes hacen clic en el enlace de este sitio web, la plataforma los perfilan para determinar su sistema operativo, luego redirigido al flujo de ataque correcto.
En Windows, las víctimas reciben una página de pantalla completa que les advierte sobre los derechos limitados del contenido. Haga clic en “Continuar” dispara a JavaScript que copia un comando MSHTA malicioso al planeador de la víctima, que está invitado a pegarlo y ejecutarlo en la terminal de Windows.
Esto lanza un cargador basado en .NET que se conecta a la dirección del atacante, mientras que el usuario ve un archivo PDF señalar para que todo parezca legítimo y según lo planeado.
En Linux, las víctimas son redirigidas a una página Captcha que copia un comando de shell a su portapapeles al hacer clic en “No soy un botón de robot”.
Luego se guía a la víctima para presionar ALT + F2 para abrir un cuadro de diálogo de ejecución de Linux, pegar el comando, luego presione Ingresar para ejecutarlo.
Fuente: Hunt.io
El comando elimina la carga útil ‘mapeal.sh’ en el sistema de destino, que, según Hunt.io, no lleva a cabo ninguna acción maliciosa en su versión actual, limitada a recuperar una imagen JPEG del servidor del atacante.
Fuente: BleepingCompute
“El script descarga una imagen JPEG de la misma Trade4Wealth[.]En el directorio y lo abrió en segundo plano “, explica Hunt.io.
“No se observó actividad adicional, como mecanismos de persistencia, movimiento lateral o comunicación saliente, durante la ejecución”.
Sin embargo, es posible que APT36 esté experimentando actualmente para determinar la efectividad de la cadena de infección de Linux, porque solo necesitan intercambiar la imagen de un script de shell para instalar malware o llevar a cabo otra actividad maliciosa.
La adaptación de ClickFix para llevar a cabo ataques contra Linux testifica su efectividad, porque el tipo de ataque ahora se ha utilizado contra las tres plataformas principales del sistema de escritorio.
Como política general, los usuarios no deben copiar y pegar pedidos en los cuadros de diálogo de ejecución sin saber exactamente qué hace el pedido. Esto solo aumenta el riesgo de infección maliciosa y robo de datos confidenciales.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.