هکرها اکنون حملات ClickFix را روی اهداف مبتنی بر لینوکس آزمایش می‌کنند.

یک کمپین جدید از نوع حملات ClickFix شناسایی شده است که کاربران هر دو سیستم‌عامل ویندوز و لینوکس را هدف قرار می‌دهد. این کمپین از دستورالعمل‌هایی بهره می‌برد که امکان آلوده‌سازی هر دو محیط را فراهم می‌سازد.

ClickFix یک تکنیک مهندسی اجتماعی است که با استفاده از پیام‌های جعلی مانند خطاهای نرم‌افزاری یا درخواست‌های تأیید هویت، کاربران را فریب می‌دهد تا دستورات مخربی را در ترمینال یا کنسول سیستم خود اجرا کنند؛ دستورات مخربی که منجر به نصب بدافزار می‌شوند.

این نوع حملات پیش‌تر عمدتاً سیستم‌های ویندوز را هدف قرار می‌دادند و با وادار کردن قربانیان به اجرای اسکریپت‌های PowerShell از طریق دستور Run در ویندوز، منجر به آلودگی به بدافزارهای سرقت اطلاعات (info-stealer) و حتی باج‌افزار (ransomware) می‌شدند.

در یک کمپین جدید که اخیراً شناسایی شده است، حملات ClickFix کاربران هر سه سیستم‌عامل ویندوز، لینوکس و macOS را هدف قرار داده‌اند.

حملات ClickFix به لینوکس: استفاده گروه APT36 از وب‌سایت جعلی وزارت دفاع هند

براساس گزارش اخیر پژوهشگران Hunt.io، یکی از اولین کمپین‌هایی که تکنیک مهندسی اجتماعی ClickFix را برای سیستم‌عامل لینوکس تطبیق داده، شناسایی شده است. این کمپین که هفته گذشته ردیابی شد، نشان‌دهنده گسترش دامنه تهدیدات مبتنی بر ClickFix فراتر از ویندوز و macOS به محیط‌های لینوکسی است.

این حمله به گروه تهدید وابسته به پاکستان با نام APT36، معروف به Transparent Tribe، نسبت داده می‌شود. مهاجمان در این کمپین از یک وب‌سایت جعلی که به‌گونه‌ای طراحی شده تا وب‌سایت رسمی وزارت دفاع هند را تقلید کند، استفاده می‌کنند. صفحه‌ مذکور حاوی لینکی به یک بیانیه مطبوعاتی جعلی است که به‌عنوان بخشی از سناریوی مهندسی اجتماعی، قربانی را ترغیب می‌کند تا دستورات مخربی را در ترمینال لینوکس اجرا کند.

زمانی که بازدیدکنندگان روی لینک این وب‌سایت کلیک می‌کنند، پلتفرم مهاجم اقدام به شناسایی سیستم‌عامل آن‌ها می‌کند و سپس کاربران را به مسیر حمله متناسب با سیستم‌عامل شناسایی‌شده هدایت می‌نماید.

در سیستم‌عامل ویندوز، یک صفحه تمام‌صفحه به کاربر نمایش داده می‌شود که هشداری درباره «محدودیت در حقوق استفاده از محتوا» ارائه می‌دهد. با کلیک بر دکمه «ادامه»، اسکریپت جاوااسکریپتی اجرا می‌شود که یک فرمان مخرب MSHTA را به کلیپ‌بورد کاربر کپی می‌کند. سپس از قربانی خواسته می‌شود این فرمان را در محیط ترمینال ویندوز (Run) جای‌گذاری و اجرا کند.

با اجرای این فرمان، یک بارگذار (Loader) مبتنی بر .NET اجرا شده و به سرور مهاجم متصل می‌شود، در حالی‌که به‌صورت هم‌زمان یک فایل PDF جعلی به کاربر نمایش داده می‌شود تا فرآیند کاملاً مشروع و قابل‌انتظار به‌نظر برسد.

در سیستم‌عامل لینوکس، قربانی به یک صفحه CAPTCHA هدایت می‌شود و با کلیک بر دکمه «من ربات نیستم»، یک فرمان shell به کلیپ‌بورد وی کپی می‌شود.

سپس به کاربر دستور داده می‌شود تا با فشردن کلیدهای ALT+F2 پنجره اجرای سریع لینوکس را باز کرده، فرمان کپی‌شده را در آن وارد کرده و با زدن Enter آن را اجرا کند.

این فرمان، فایل اجرایی mapeal.sh را روی سیستم قربانی قرار می‌دهد. به‌گفته‌ Hunt.io، نسخه فعلی این فایل رفتار مخربی از خود نشان نمی‌دهد و صرفاً یک تصویر JPEG را از سرور مهاجم دریافت می‌کند.

این اسکریپت یک تصویر JPEG را از همان مسیر trade4wealth[.]in دانلود کرده و آن را در پس‌زمینه باز می‌کند»، پژوهشگران Hunt.io توضیح می‌دهند.

در حین اجرای این فایل، هیچ فعالیت اضافی همچون سازوکارهای ماندگاری (Persistence)، جابه‌جایی جانبی (Lateral Movement) یا ارتباطات خروجی مشاهده نشد.

با این حال، این احتمال وجود دارد که گروه APT36 در حال آزمایش کارایی زنجیره آلوده‌سازی در لینوکس باشد؛ چرا که تنها با جایگزینی تصویر با یک اسکریپت shell، می‌توان اقدام به نصب بدافزار یا انجام سایر فعالیت‌های مخرب نمود.

تطبیق حملات ClickFix با لینوکس نشان‌دهنده اثربخشی بالای این روش است؛ چرا که اکنون این نوع حمله علیه هر سه سیستم‌عامل اصلی دسکتاپ (ویندوز، لینوکس و macOS) مورد استفاده قرار گرفته است.

به‌عنوان یک توصیه کلی امنیتی، کاربران نباید بدون آگاهی کامل از عملکرد یک دستور، آن را در پنجره Run یا ترمینال سیستم خود کپی و اجرا کنند؛ چرا که این اقدام می‌تواند خطر آلودگی به بدافزار و سرقت اطلاعات حساس را به‌طور چشمگیری افزایش دهد.