首頁 > 安全研究 > 安全通報 > 安全簡訊

ClickFix攻擊跨Windows、Linux系統實施社會工程誘騙

發布時間 2025-05-13

1. ClickFix攻擊跨Windows、Linux系統實施社會工程誘騙


5月12日,近日,一項利用ClickFix攻擊的新活動被發現,該活動針對Windows和Linux系統,采用可感染任一操作系統的指令。ClickFix作為一種社會工程策略,通過虛假驗證系統或應用程序錯誤誘騙用戶運行惡意命令。傳統上,此類攻擊主要針對Windows系統,通過誘騙用戶執行PowerShell腳本,導致信息竊取或勒索軟件感染。然而,2024年已有活動針對macOS用戶,且近期Hunt.io研究人員發現,與巴基斯坦有關的APT36(又名“透明部落”)威脅組織發起了一項針對Linux系統的ClickFix攻擊。該組織利用冒充印度國防部的網站,附上虛假新聞稿鏈接,當用戶點擊后,平臺會分析其操作系統并重定向到相應的攻擊流。在Windows系統中,用戶會看到全屏警告頁面,點擊“繼續”后,惡意JavaScript會將MSHTA命令復制到剪貼板,誘導用戶執行,從而啟動.NET加載程序并連接到攻擊者地址。在Linux系統中,用戶點擊“我不是機器人”按鈕后會被重定向到CAPTCHA頁面,誘導其執行shell命令,將“mapeal.sh”負載投放到目標系統。盡管當前版本的“mapeal.sh”僅從攻擊者服務器獲取JPEG圖像,但APT36可能正在測試Linux感染鏈的有效性,未來可能通過替換圖像為shell腳本來安裝惡意軟件。


https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/


2. Marbled Dust利用零日漏洞攻擊Output Messenger用戶


5月12日,微軟威脅情報分析師近日發現,一個由土耳其支持的網絡間諜組織Marbled Dust(又名Sea Turtle、SILICON和UNC1326)利用零日漏洞攻擊與伊拉克庫爾德軍隊有關的Output Messenger用戶。該組織發現LAN消息傳遞應用程序Output Messenger存在目錄遍歷漏洞(CVE-2025-27920),此漏洞可使經過身份驗證的攻擊者訪問目標目錄外的敏感文件或在服務器啟動文件夾中部署惡意負載。應用程序開發商Srimax在12月發布的安全公告中指出,攻擊者可能借此訪問配置文件、敏感用戶數據甚至源代碼,進而導致遠程代碼執行等進一步攻擊。該漏洞已在Output Messenger V2.0.63版本中得到修補。然而,Marbled Dust在獲得Output Messenger Server Manager應用程序訪問權限后,仍針對未更新系統的用戶發起攻擊并感染惡意軟件。攻陷服務器后,該組織可竊取敏感數據、訪問用戶通信、冒充用戶、訪問內部系統并導致運營中斷。微軟評估認為,Marbled Dust可能利用DNS劫持或域名搶注技術攔截、記錄和重復使用憑據。攻擊者在受害者設備上部署后門程序,檢查與攻擊者控制的命令和控制域的連接性,并向威脅行為者提供信息以識別受害者。


https://www.bleepingcomputer.com/news/security/output-messenger-flaw-exploited-as-zero-day-in-espionage-attacks/


3. 惡意npm包針對macOS版Cursor編輯器發動供應鏈攻擊


5月9日,網絡安全研究人員近日發現三個惡意npm軟件包針對蘋果macOS版人工智能驅動的源代碼編輯器Cursor發動攻擊。這些軟件包偽裝成開發者工具,通過竊取用戶憑證、從攻擊者控制的服務器獲取加密載荷并覆蓋Cursor的合法文件,進而禁用自動更新機制以維持持久性駐留。受影響的軟件包包括sw-cur、sw-cur1和aiide-cur,截至5月9日仍可在npm倉庫下載。安裝后,這些軟件包會竊取用戶輸入的Cursor憑證,并從遠程服務器獲取第二階段載荷,用惡意代碼替換合法文件,甚至禁用Cursor的自動更新功能,重啟應用使惡意代碼生效,使攻擊者能在平臺上執行任意代碼。Socket公司研究員指出,這反映出攻擊者正通過惡意npm包篡改開發者系統現有合法軟件的新趨勢,即使刪除惡意軟件包,仍需重新安裝被篡改的軟件才能徹底清除威脅。此外,攻擊者還利用開發者對AI工具的興趣實施釣魚,以“最便宜Cursor API”為誘餌吸引用戶安裝后門。同時,安全研究員還披露了另外兩個惡意npm包,它們通過“包裝器模式”傳播相同惡意代碼,竊取加密貨幣平臺數據。另外,安全公司Aikido也發現合法npm包“rand-user-agent”遭供應鏈攻擊,惡意版本植入遠程控制木馬,通過與外部服務器通信實現目錄切換、文件上傳和命令執行。


https://thehackernews.com/2025/05/malicious-npm-packages-infect-3200.html


4. ASUS DriverHub曝遠程代碼執行漏洞,建議用戶盡快更新


5月12日,ASUS DriverHub驅動程序管理實用程序被曝存在嚴重遠程代碼執行漏洞,該漏洞由新西蘭獨立網絡安全研究員保羅發現。DriverHub作為華碩官方驅動程序管理工具,會在某些華碩主板首次系統啟動時自動安裝,并在后臺通過端口53000運行,持續檢查驅動程序更新。然而,該軟件對發送到后臺服務的命令驗證不足,攻擊者可利用CVE-2025-3462和CVE-2025-3463漏洞創建漏洞利用鏈,繞過源站驗證,在目標設備上觸發遠程代碼執行。漏洞的關鍵在于軟件對Origin Header的檢查執行不力,任何包含“driverhub.asus.com”字符串的網站請求都會被接受,即使與華碩官方門戶不完全匹配。此外,UpdateApp端點允許從“.asus.com”URL下載并運行.exe文件,無需用戶確認,進一步加劇了風險。攻擊者可誘騙用戶訪問惡意網站,通過欺騙Origin Header繞過驗證,向本地服務發送惡意請求,下載并執行惡意文件。華碩于2025年4月8日收到報告,4月18日實施修復,但CVE描述中存在誤導性聲明,稱問題僅限于主板,而實際上會影響安裝了DriverHub的筆記本電腦和臺式電腦。華碩安全公告建議用戶盡快更新至最新版本。若對后臺服務自動獲取潛在危險文件不滿,可從BIOS設置中禁用DriverHub。


https://www.bleepingcomputer.com/news/security/asus-driverhub-flaw-let-malicious-sites-run-commands-with-admin-rights/


5. 勒索團伙麒麟從俄亥俄州警長辦公室竊取百GB文件


5月9日,一個俄羅斯勒索軟件團隊麒麟宣稱從俄亥俄州漢密爾頓縣警長辦公室竊取了近100GB文件,其中據稱包含公共安全信息。麒麟是臭名昭著的勒索軟件即服務(RaaS)組織,于5月4日在其地下網站上發布泄密通知,聲稱持有從警長系統竊取的128,294個文件。該團伙以實施雙重勒索而聞名,要求受害者支付費用以解鎖系統和防止數據泄露,否則會將文件上傳到網上。麒麟聲稱竊取的文件包含7月4日公共安全計劃的情報,可能涉及游行路線、人群控制以及節日期間警員值班安排,還聲稱掌握了警長辦公室招聘啟事的內部信息。值得注意的是,該縣辦公室目前正在哀悼一位長期任職的副警長拉里·亨德森,他于5月2日在一場車禍中被故意殺害。麒麟自2022年首次出現在勒索軟件圈中以來,就因襲擊醫院而廣為人知,曾對英國國民醫療服務體系(NHS)合作伙伴Synnovis實驗室發動黑客攻擊,導致倫敦五家公立醫院關鍵服務癱瘓。麒麟是最活躍的勒索軟件團伙之一,已有403名受害者。


https://cybernews.com/cybercrime/hamilton-county-sheriff-ransomware-attack/


6. FreeDrain釣魚騙局導致加密貨幣愛好者錢包被清空


5月12日,一項名為FreeDrain的復雜釣魚計劃自2022年起持續針對Web3項目,大規模清空加密貨幣錢包。該計劃最初于2024年4月被Validin檢測為簡單的加密釣魚網站網絡,但隨后顯現出更高復雜性和更大規模,促使互聯網情報平臺提供商與SentinelOne的研究團隊SentinelLabs合作調查。FreeDrain計劃未依賴釣魚郵件、短信釣魚等常見手段,而是通過SEO操縱、免費層級網絡服務和分層重定向技術瞄準加密貨幣錢包。受害者在點擊高排名搜索引擎結果后,試圖檢查錢包余額時,會無意間將錢包助記詞提交至釣魚網站。助記詞是恢復加密貨幣錢包并訪問資金的關鍵,被盜資產迅速通過加密貨幣混幣器轉移,使得追蹤和追回幾乎不可能。研究人員發現,FreeDrain行動通過云基礎設施托管大量誘餌頁面,模仿合法加密貨幣錢包界面,并綜合運用多種技術誘使受害者誤認為網站合法。此外,運營者還通過在維護不善的網站上進行大規模評論灌水,提升誘餌頁面的可見度。調查顯示,FreeDrain使用臨時基礎設施和共享免費服務,溯源行動具有挑戰性,但研究人員通過分析倉庫元數據、行為信號和時間痕跡,成功獲取了運營者特征的重要線索,表明該行動極可能由印度境內人員在標準工作日時段實施。


https://www.infosecurity-magazine.com/news/freedrain-phishing-scam-crypto/

上一篇 下一篇