黑客正测试针对 Linux 系统的 ClickFix 攻击​

安全研究人员发现新型ClickFix攻击活动正同时针对Windows和Linux系统，利用可跨操作系统感染的指令展开攻击。

ClickFix是一种社会工程学策略，通过伪造验证系统或应用错误诱骗网站访客运行控制台命令以安装恶意软件。此类攻击传统上以Windows系统为目标，诱使受害者从Windows运行命令执行PowerShell脚本，导致信息窃取恶意软件感染甚至勒索攻击。

然而，2024年一项使用虚假Google Meet错误的活动也瞄准了macOS用户。Hunt.io研究人员上周发现的最新活动，是首批将这种社会工程学技术适配到Linux系统的攻击之一。

此次攻击被归因于与巴基斯坦关联的威胁组织APT36（又名“Transparent Tribe”），攻击者仿冒印度国防部网站，提供所谓官方新闻稿链接。

当访客点击链接时，平台会对其操作系统进行识别并重定向至相应攻击流程。在Windows系统上，受害者会看到全屏页面警告内容使用权受限。点击“继续”触发JavaScript将恶意MSHTA命令复制到剪贴板，并指示用户在Windows终端粘贴执行。该操作启动基于.NET的加载器连接攻击者地址，同时用户会看到诱饵PDF文件使一切看似正常。

在Linux系统上，受害者被重定向至验证码页面，点击“我不是机器人”按钮时将Shell命令复制到剪贴板。随后引导用户按ALT+F2打开Linux运行对话框，粘贴命令并按Enter执行。该命令在目标系统部署“mapeal.sh”载荷。据Hunt.io称，当前版本尚未执行任何恶意行为，仅从攻击者服务器获取JPEG图像。

“脚本从同一trade4wealth[.]in目录下载JPEG图像并在后台打开，”Hunt.io解释道，“执行期间未观察到持久化机制、横向移动或外联通信等额外活动。”

但研究人员指出，APT36可能正在测试Linux感染链的有效性——只需将图像替换为Shell脚本即可安装恶意软件或实施其他恶意活动。

ClickFix攻击成功适配Linux系统，标志着该攻击类型现已覆盖三大主流桌面操作系统平台。

作为通用安全原则，用户在未明确知晓命令功能的情况下，不应将任何命令复制粘贴至运行对话框。此类操作只会增加恶意软件感染和敏感数据被盗风险。

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；