Một chiến dịch tấn công mới sử dụng kỹ thuật ClickFix đã được phát hiện, nhắm vào cả hệ điều hành Linux và Windows. Kỹ thuật ClickFix là một phương thức social engineering mà kẻ tấn công tạo ra các lỗi giả mạo hoặc hệ thống xác minh giả, khiến người dùng chạy các lệnh console độc hại để cài mã độc vào hệ thống.
Lỗ hổng này trước đây chỉ xuất hiện trên hệ điều hành Windows, tại đây nạn nhân bị dụ dỗ chạy các PowerShell scripts qua Run command. Tuy nhiên, từ năm 2024, chiến dịch này đã mở rộng, nhắm đến cả người dùng macOS.
Tuy nhiên, gần đây, chiến dịch này đã được điều chỉnh để tấn công các hệ điều hành Linux. Theo nhóm nghiên cứu Hunt.io, chiến dịch này có sự tham gia của nhóm đe dọa APT36 (Transparent Tribe). Các nạn nhân sẽ được hướng dẫn truy cập vào một trang web giả mạo và dụ dỗ nhấn vào một liên kết có vẻ hợp pháp.
-
Trên Windows, sau khi người dùng nhấn vào liên kết, họ sẽ thấy một cảnh báo toàn màn hình về việc hạn chế quyền truy cập, và khi nhấn “Tiếp tục”, hệ thống sẽ sao chép lệnh độc hại vào clipboard, yêu cầu nạn nhân chạy nó trong Windows terminal.
-
Trên Linux, người dùng sẽ được chuyển đến một trang CAPTCHA giả, và khi nhấn nút “Tôi không phải là người máy”, lệnh shell độc hại sẽ được sao chép vào clipboard. Sau đó, nạn nhân chỉ cần mở Run dialog, dán và chạy lệnh này.
Lệnh trên Linux thả xuống một tệp payload có tên mapeal.sh. Tuy nhiên, theo đánh giá của Hunt.io, tệp này hiện tại không thực hiện hành động độc hại nào ngoài việc tải xuống một ảnh JPEG. Dù vậy, khả năng kẻ tấn công thay thế ảnh JPEG bằng một shell script độc hại trong tương lai hoàn toàn có thể xảy ra.
Chiến dịch ClickFix đã chứng tỏ hiệu quả của mình khi tấn công được cả ba hệ điều hành chính, Windows, macOS và Linux, cho thấy sự phổ biến và nguy hiểm của phương thức tấn công này. Người dùng nên tránh sao chép và dán bất kỳ lệnh nào vào Run dialog hoặc terminal nếu không rõ nguồn gốc và nội dung. Việc này có thể gây rủi ro lớn trong việc lây nhiễm mã độc và đánh cắp thông tin cá nhân.
