ClickFix Bidik Windows dan Linux

Operasi baru yang menggunakan serangan ClickFix telah diketahui menargetkan sistem Windows dan Linux menggunakan instruksi yang memungkinkan infeksi pada kedua sistem operasi.

ClickFix adalah taktik social engineering yang menggunakan sistem verifikasi palsu atau kesalahan aplikasi untuk mengelabui pengunjung situs web agar menjalankan perintah konsol yang menginstal malware.

Serangan ini secara tradisional menargetkan sistem Windows, mendorong target untuk menjalankan skrip PowerShell dari perintah Windows Run, yang mengakibatkan infeksi malware pencuri info dan bahkan ransomware.

Namun, operasi tahun 2024 yang menggunakan kesalahan Google Meet palsu juga menargetkan pengguna macOS.

ClickFix Bidik Windows dan Linux

operasi yang lebih baru yang ditemukan oleh peneliti minggu lalu adalah salah satu yang pertama mengadaptasi teknik social engineering ini untuk sistem Linux.

Serangan tersebut, yang dikaitkan dengan kelompok ancaman yang terkait dengan Pakistan, APT36 (alias “Transparent Tribe”), menggunakan situs web yang menyamar sebagai Kementerian Pertahanan India dengan tautan ke siaran pers yang diduga resmi.

Saat pengunjung mengeklik tautan situs web ini, mereka akan diprofilkan oleh platform untuk menentukan sistem operasi mereka, lalu diarahkan ke alur serangan yang benar.

Windows

Di Windows, korban akan disajikan halaman layar penuh yang memperingatkan mereka tentang hak penggunaan konten yang terbatas. Mengklik ‘Lanjutkan’ memicu JavaScript yang menyalin perintah MSHTA berbahaya ke clipboard korban, yang diperintahkan untuk menempel dan menjalankannya di terminal Windows.

Ini meluncurkan loader berbasis .NET yang terhubung ke alamat penyerang, sementara pengguna melihat file PDF yang menipu agar semuanya tampak sah dan seperti yang diharapkan.

Linux

Di Linux, korban diarahkan ke halaman CAPTCHA yang menyalin perintah shell ke clipboard mereka saat mengklik tombol “Saya bukan robot.”

Korban kemudian dipandu untuk menekan ALT+F2 untuk membuka dialog run Linux, menempelkan perintah ke dalamnya, lalu menekan Enter untuk menjalankannya.

Perintah tersebut menjatuhkan muatan mapeal.sh pada sistem target, yang menurut peneliti tidak melakukan tindakan jahat apa pun dalam versi saat ini, terbatas pada pengambilan gambar JPEG dari server penyerang.

Skrip tersebut mengunduh gambar JPEG dari direktori trade4wealth[.]in yang sama dan membukanya di latar belakang.

Tidak ada aktivitas tambahan, seperti mekanisme persistensi, gerakan lateral, atau komunikasi keluar, yang diamati selama eksekusi.

Eksperimen APT36

Namun, ada kemungkinan bahwa APT36 saat ini sedang bereksperimen untuk menentukan efektivitas rantai infeksi Linux, karena mereka hanya perlu menukar gambar tersebut dengan skrip shell untuk menginstal malware atau melakukan aktivitas jahat lainnya.

Adaptasi ClickFix untuk melakukan serangan pada Linux merupakan bukti lain atas efektivitasnya, karena jenis serangan tersebut kini telah digunakan terhadap ketiga platform OS desktop utama.

Sebagai kebijakan umum, pengguna tidak boleh menyalin dan menempel perintah apa pun ke dalam dialog Run tanpa mengetahui dengan pasti apa yang dilakukan perintah tersebut. Melakukan hal itu hanya meningkatkan risiko infeksi malware dan pencurian data sensitif.

Sumber berita:

Prosperita IT News