Uma nova campanha utilizando ataques ClickFix foi detectada, com foco tanto em sistemas Windows quanto Linux, usando instruções que tornam possíveis infecções em ambos os sistemas operacionais.
ClickFix é uma tática de engenharia social na qual sistemas falsos de verificação ou erros de aplicação são usados para enganar visitantes de sites a executarem comandos no console que instalam malware.
Esses ataques têm tradicionalmente visado sistemas Windows, induzindo alvos a executarem scripts do PowerShell a partir do comando Executar do Windows, resultando em infecções por malware do tipo info-stealer e até ransomware.
Entretanto, uma campanha de 2024 com erros falsos do Google Meet também visou usuários de macOS.
Uma campanha mais recente detectada pelos pesquisadores da Hunt.io na última semana está entre as primeiras a adaptar essa técnica de engenharia social para sistemas Linux.
O ataque, atribuído ao grupo de ameaças do Paquistão vinculado à APT36 (também conhecido como "Transparent Tribe"), utiliza um site que se passa pelo Ministério da Defesa da Índia com um link para um suposto comunicado de imprensa oficial.
Quando os visitantes clicam neste link do site, são perfilados pela plataforma para determinar seu sistema operacional e, em seguida, redirecionados para o fluxo de ataque correto.
No Windows, as vítimas recebem uma página em tela cheia avisando sobre direitos de uso de conteúdo limitados.
Clicar em "Continuar" aciona um JavaScript que copia um comando MSHTA malicioso para a área de transferência da vítima, que é instruída a colá-lo e executá-lo no terminal do Windows.
Isso inicia um carregador baseado em .NET que se conecta ao endereço do atacante, enquanto o usuário vê um arquivo PDF falso para que tudo pareça legítimo e conforme esperado.
No Linux, as vítimas são redirecionadas para uma página CAPTCHA que copia um comando shell para sua área de transferência ao clicar no botão "Não sou um robô".
A vítima é então orientada a pressionar ALT+F2 para abrir um diálogo de execução do Linux, colar o comando nele, e então pressionar Enter para executá-lo.
O comando solta o payload 'mapeal.sh' no sistema do alvo, o qual, de acordo com a Hunt.io, não executa nenhuma ação maliciosa em sua versão atual, limitado a buscar uma imagem JPEG do servidor do atacante.
"O script baixa uma imagem JPEG do mesmo diretório trade4wealth[.]in e a abre em segundo plano", explica a Hunt.io.
Nenhuma atividade adicional, como mecanismos de persistência, movimento lateral ou comunicação externa, foi observada durante a execução.
No entanto, é possível que a APT36 esteja atualmente experimentando para determinar a eficácia da cadeia de infecção no Linux, pois apenas precisariam trocar a imagem por um script shell para instalar malware ou realizar outras atividades maliciosas.
A adaptação do ClickFix para realizar ataques no Linux é mais um testemunho de sua eficácia, já que o tipo de ataque agora foi usado contra as três principais plataformas de sistemas operacionais desktop.
Como política geral, os usuários não devem copiar e colar comandos em diálogos de execução sem saber exatamente o que o comando faz.
Fazer isso apenas aumenta o risco de uma infecção por malware e o furto de dados sensíveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...