ClickFix攻击跨Windows、Linux系统实施社会工程诱骗
发布时间 2025-05-131. ClickFix攻击跨Windows、Linux系统实施社会工程诱骗
5月12日,近日,一项利用ClickFix攻击的新活动被发现,该活动针对Windows和Linux系统,采用可感染任一操作系统的指令。ClickFix作为一种社会工程策略,通过虚假验证系统或应用程序错误诱骗用户运行恶意命令。传统上,此类攻击主要针对Windows系统,通过诱骗用户执行PowerShell脚本,导致信息窃取或勒索软件感染。然而,2024年已有活动针对macOS用户,且近期Hunt.io研究人员发现,与巴基斯坦有关的APT36(又名“透明部落”)威胁组织发起了一项针对Linux系统的ClickFix攻击。该组织利用冒充印度国防部的网站,附上虚假新闻稿链接,当用户点击后,平台会分析其操作系统并重定向到相应的攻击流。在Windows系统中,用户会看到全屏警告页面,点击“继续”后,恶意JavaScript会将MSHTA命令复制到剪贴板,诱导用户执行,从而启动.NET加载程序并连接到攻击者地址。在Linux系统中,用户点击“我不是机器人”按钮后会被重定向到CAPTCHA页面,诱导其执行shell命令,将“mapeal.sh”负载投放到目标系统。尽管当前版本的“mapeal.sh”仅从攻击者服务器获取JPEG图像,但APT36可能正在测试Linux感染链的有效性,未来可能通过替换图像为shell脚本来安装恶意软件。
https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/
2. Marbled Dust利用零日漏洞攻击Output Messenger用户
5月12日,微软威胁情报分析师近日发现,一个由土耳其支持的网络间谍组织Marbled Dust(又名Sea Turtle、SILICON和UNC1326)利用零日漏洞攻击与伊拉克库尔德军队有关的Output Messenger用户。该组织发现LAN消息传递应用程序Output Messenger存在目录遍历漏洞(CVE-2025-27920),此漏洞可使经过身份验证的攻击者访问目标目录外的敏感文件或在服务器启动文件夹中部署恶意负载。应用程序开发商Srimax在12月发布的安全公告中指出,攻击者可能借此访问配置文件、敏感用户数据甚至源代码,进而导致远程代码执行等进一步攻击。该漏洞已在Output Messenger V2.0.63版本中得到修补。然而,Marbled Dust在获得Output Messenger Server Manager应用程序访问权限后,仍针对未更新系统的用户发起攻击并感染恶意软件。攻陷服务器后,该组织可窃取敏感数据、访问用户通信、冒充用户、访问内部系统并导致运营中断。微软评估认为,Marbled Dust可能利用DNS劫持或域名抢注技术拦截、记录和重复使用凭据。攻击者在受害者设备上部署后门程序,检查与攻击者控制的命令和控制域的连接性,并向威胁行为者提供信息以识别受害者。
https://www.bleepingcomputer.com/news/security/output-messenger-flaw-exploited-as-zero-day-in-espionage-attacks/
3. 恶意npm包针对macOS版Cursor编辑器发动供应链攻击
5月9日,网络安全研究人员近日发现三个恶意npm软件包针对苹果macOS版人工智能驱动的源代码编辑器Cursor发动攻击。这些软件包伪装成开发者工具,通过窃取用户凭证、从攻击者控制的服务器获取加密载荷并覆盖Cursor的合法文件,进而禁用自动更新机制以维持持久性驻留。受影响的软件包包括sw-cur、sw-cur1和aiide-cur,截至5月9日仍可在npm仓库下载。安装后,这些软件包会窃取用户输入的Cursor凭证,并从远程服务器获取第二阶段载荷,用恶意代码替换合法文件,甚至禁用Cursor的自动更新功能,重启应用使恶意代码生效,使攻击者能在平台上执行任意代码。Socket公司研究员指出,这反映出攻击者正通过恶意npm包篡改开发者系统现有合法软件的新趋势,即使删除恶意软件包,仍需重新安装被篡改的软件才能彻底清除威胁。此外,攻击者还利用开发者对AI工具的兴趣实施钓鱼,以“最便宜Cursor API”为诱饵吸引用户安装后门。同时,安全研究员还披露了另外两个恶意npm包,它们通过“包装器模式”传播相同恶意代码,窃取加密货币平台数据。另外,安全公司Aikido也发现合法npm包“rand-user-agent”遭供应链攻击,恶意版本植入远程控制木马,通过与外部服务器通信实现目录切换、文件上传和命令执行。
https://thehackernews.com/2025/05/malicious-npm-packages-infect-3200.html
4. ASUS DriverHub曝远程代码执行漏洞,建议用户尽快更新
5月12日,ASUS DriverHub驱动程序管理实用程序被曝存在严重远程代码执行漏洞,该漏洞由新西兰独立网络安全研究员保罗发现。DriverHub作为华硕官方驱动程序管理工具,会在某些华硕主板首次系统启动时自动安装,并在后台通过端口53000运行,持续检查驱动程序更新。然而,该软件对发送到后台服务的命令验证不足,攻击者可利用CVE-2025-3462和CVE-2025-3463漏洞创建漏洞利用链,绕过源站验证,在目标设备上触发远程代码执行。漏洞的关键在于软件对Origin Header的检查执行不力,任何包含“driverhub.asus.com”字符串的网站请求都会被接受,即使与华硕官方门户不完全匹配。此外,UpdateApp端点允许从“.asus.com”URL下载并运行.exe文件,无需用户确认,进一步加剧了风险。攻击者可诱骗用户访问恶意网站,通过欺骗Origin Header绕过验证,向本地服务发送恶意请求,下载并执行恶意文件。华硕于2025年4月8日收到报告,4月18日实施修复,但CVE描述中存在误导性声明,称问题仅限于主板,而实际上会影响安装了DriverHub的笔记本电脑和台式电脑。华硕安全公告建议用户尽快更新至最新版本。若对后台服务自动获取潜在危险文件不满,可从BIOS设置中禁用DriverHub。
https://www.bleepingcomputer.com/news/security/asus-driverhub-flaw-let-malicious-sites-run-commands-with-admin-rights/
5. 勒索团伙麒麟从俄亥俄州警长办公室窃取百GB文件
5月9日,一个俄罗斯勒索软件团队麒麟宣称从俄亥俄州汉密尔顿县警长办公室窃取了近100GB文件,其中据称包含公共安全信息。麒麟是臭名昭著的勒索软件即服务(RaaS)组织,于5月4日在其地下网站上发布泄密通知,声称持有从警长系统窃取的128,294个文件。该团伙以实施双重勒索而闻名,要求受害者支付费用以解锁系统和防止数据泄露,否则会将文件上传到网上。麒麟声称窃取的文件包含7月4日公共安全计划的情报,可能涉及游行路线、人群控制以及节日期间警员值班安排,还声称掌握了警长办公室招聘启事的内部信息。值得注意的是,该县办公室目前正在哀悼一位长期任职的副警长拉里·亨德森,他于5月2日在一场车祸中被故意杀害。麒麟自2022年首次出现在勒索软件圈中以来,就因袭击医院而广为人知,曾对英国国民医疗服务体系(NHS)合作伙伴Synnovis实验室发动黑客攻击,导致伦敦五家公立医院关键服务瘫痪。麒麟是最活跃的勒索软件团伙之一,已有403名受害者。
https://cybernews.com/cybercrime/hamilton-county-sheriff-ransomware-attack/
6. FreeDrain钓鱼骗局导致加密货币爱好者钱包被清空
5月12日,一项名为FreeDrain的复杂钓鱼计划自2022年起持续针对Web3项目,大规模清空加密货币钱包。该计划最初于2024年4月被Validin检测为简单的加密钓鱼网站网络,但随后显现出更高复杂性和更大规模,促使互联网情报平台提供商与SentinelOne的研究团队SentinelLabs合作调查。FreeDrain计划未依赖钓鱼邮件、短信钓鱼等常见手段,而是通过SEO操纵、免费层级网络服务和分层重定向技术瞄准加密货币钱包。受害者在点击高排名搜索引擎结果后,试图检查钱包余额时,会无意间将钱包助记词提交至钓鱼网站。助记词是恢复加密货币钱包并访问资金的关键,被盗资产迅速通过加密货币混币器转移,使得追踪和追回几乎不可能。研究人员发现,FreeDrain行动通过云基础设施托管大量诱饵页面,模仿合法加密货币钱包界面,并综合运用多种技术诱使受害者误认为网站合法。此外,运营者还通过在维护不善的网站上进行大规模评论灌水,提升诱饵页面的可见度。调查显示,FreeDrain使用临时基础设施和共享免费服务,溯源行动具有挑战性,但研究人员通过分析仓库元数据、行为信号和时间痕迹,成功获取了运营者特征的重要线索,表明该行动极可能由印度境内人员在标准工作日时段实施。
https://www.infosecurity-magazine.com/news/freedrain-phishing-scam-crypto/
京公网安备11010802024551号