พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ
ClickFix เป็นเทคนิค Social engineering ที่ใช้ระบบยืนยันตัวตนปลอม หรือข้อความแสดงข้อผิดพลาดของแอปพลิเคชันเพื่อหลอกให้ผู้ใช้งานเว็บไซต์รันคำสั่งผ่านคอนโซล ซึ่งจะนำไปสู่การติดตั้งมัลแวร์
โดยทั่วไปการโจมตีลักษณะนี้ จะมุ่งเป้าหมายไปที่ระบบปฏิบัติการ Windows โดยจะหลอกให้เหยื่อรันสคริปต์ PowerShell ผ่านคำสั่ง Run ของ Windows ซึ่งนำไปสู่การติดมัลแวร์ info-stealer และแรนซัมแวร์
อย่างไรก็ตาม ในปี 2024 มีแคมเปญหนึ่งที่ใช้ข้อความแสดงข้อผิดพลาดปลอมของ Google Meet เพื่อโจมตีผู้ใช้งาน macOS ด้วยเช่นกัน
ClickFix มุ่งเป้าไปที่ผู้ใช้งาน Linux
แคมเปญล่าสุดที่นักวิจัยจาก Hunt.io ตรวจพบเมื่อสัปดาห์ที่ผ่านมา ถือเป็นหนึ่งในกลุ่มแรก ๆ ที่มีการปรับใช้เทคนิค social engineering กับระบบปฏิบัติการ Linux
การโจมตีดังกล่าวเชื่อมโยงกับกลุ่มภัยคุกคาม APT36 ที่มีความเกี่ยวข้องกับประเทศปากีสถาน (หรือที่รู้จักในชื่อ "Transparent Tribe") ซึ่งได้ใช้เว็บไซต์ที่ปลอมแปลงเป็นกระทรวงกลาโหมของอินเดีย โดยมีลิงก์ไปยังข่าวประชาสัมพันธ์อย่างเป็นทางการ
เมื่อผู้เยี่ยมชมคลิกลิงก์บนเว็บไซต์ดังกล่าว ระบบจะทำการตรวจสอบข้อมูลผู้ใช้งาน เพื่อระบุระบบปฏิบัติการที่ใช้ และจากนั้นจะเปลี่ยนเส้นทางไปยังขั้นตอนการโจมตีที่เหมาะสมกับระบบปฏิบัติการนั้น
บนระบบปฏิบัติการ Windows เหยื่อจะเห็นหน้าเว็บไซต์แบบเต็มหน้าจอซึ่งแสดงคำเตือนเกี่ยวกับสิทธิ์ในการเข้าถึงเนื้อหาที่จำกัด และเมื่อคลิกที่ปุ่ม ‘Continue’ จะมี JavaScript ทำงานเพื่อคัดลอกคำสั่ง MSHTA ที่เป็นอันตรายลงในคลิปบอร์ดของเหยื่อ พร้อมแนะนำให้เหยือนำคำสั่งดังกล่าวไปวาง และรันในหน้าต่างคำสั่งของ Windows (Windows Terminal)
คำสั่งดังกล่าวจะเปิดใช้งานตัวโหลดเดอร์ที่พัฒนาด้วย .NET ซึ่งจะเชื่อมต่อไปยังระบบของผู้ไม่หวังดี ขณะเดียวกันผู้ใช้งานจะเห็นไฟล์ PDF ปลอมที่ถูกแสดงขึ้นมา เพื่อให้ทุกอย่างดูเหมือนเป็นปกติ และดูน่าเชื่อถือ
ในระบบปฏิบัติการ Linux เหยื่อจะถูกเปลี่ยนเส้นทางไปยังหน้า CAPTCHA และเมื่อคลิกที่ปุ่ม "I'm not a robot" คำสั่ง shell จะถูกคัดลอกไปยังคลิปบอร์ดของเหยื่อ จากนั้นจะมีคำแนะนำให้เหยื่อกด ALT+F2 เพื่อเปิดหน้าต่างรันคำสั่งของ Linux จากนั้นให้วางคำสั่งที่คัดลอกมาแล้วกด Enter เพื่อรันคำสั่ง
คำสั่งดังกล่าวจะทำการวางไฟล์ 'mapeal.sh' ลงในระบบของเหยื่อ ซึ่งตามรายงานจาก Hunt.io ระบุว่าในเวอร์ชันปัจจุบัน ไฟล์นี้ไม่ได้ดำเนินการทำงานที่เป็นอันตรายใด ๆ แต่จะทำการดึงภาพ JPEG จากเซิร์ฟเวอร์ของผู้ไม่หวังดีมาเท่านั้น
Hunt.io อธิบายว่า "สคริปต์จะดาวน์โหลดภาพ JPEG จากไดเรกทอรีเดียวกันกับ trade4wealth[.]in และเปิดมันใน background"
"ไม่พบการดำเนินการอื่น ๆ เพิ่มเติม เช่น กลไกการแฝงตัวบนระบบ, การขยายการโจมตีในเครือข่าย หรือการสื่อสารขาออก ในระหว่างการดำเนินการ"
อย่างไรก็ตาม เป็นไปได้ว่า APT36 กำลังทดสอบเพื่อประเมินประสิทธิภาพของการติดมัลแวร์บน Linux เนื่องจากผู้ไม่หวังดีสามารถสลับภาพ JPEG เป็นสคริปต์ shell เพื่อทำการติดตั้งมัลแวร์ หรือดำเนินกิจกรรมที่เป็นอันตรายอื่น ๆ
การใช้ ClickFix เพื่อทำการโจมตีบน Linux เป็นอีกหนึ่งหลักฐานที่ยืนยันถึงประสิทธิภาพของเทคนิคนี้ เนื่องจากมันถูกใช้ในการโจมตีบนระบบปฏิบัติการหลักทั้งสามของคอมพิวเตอร์เดสก์ท็อปแล้ว
ตามนโยบายทั่วไป ผู้ใช้งานไม่ควรคัดลอก และวางคำสั่งใด ๆ ลงในหน้าต่าง Run โดยที่ไม่ทราบแน่ชัดว่าคำสั่งนั้นทำอะไร การกระทำเช่นนี้จะเพิ่มความเสี่ยงในการติดมัลแวร์ และการขโมยข้อมูลที่สำคัญ
ที่มา : bleepingcomputer
You must be logged in to post a comment.