ClickFix攻击跨Windows、Linux系统执行社会工程诱骗

首页 > 安全钻研 > 安全传递 > 安全简讯

ClickFix攻击跨Windows、Linux系统执行社会工程诱骗

颁布功夫 2025-05-13

1. ClickFix攻击跨Windows、Linux系统执行社会工程诱骗

5月12日，近日，一项利用ClickFix攻击的新活动被发现，该活动针对Windows和Linux系统，选取可习染任一操作系统的指令。ClickFix作为一种社会工程战术，通过虚伪验证系统或利用法式谬误诱骗用户运行恶意号令。传统上，此类攻击重要针对Windows系统，通过诱骗用户执行PowerShell剧本，导致信息窃取或勒索软件习染。然而，2024年已有活动针对macOS用户，且近期Hunt.io钻研人员发现，与巴基斯坦有关的APT36（别名“通明部落”）威胁组织提议了一项针对Linux系统的ClickFix攻击。该组织利用假意印度国防部的网站，附上虚伪新闻稿链接，当用户点击后，平台会分析其操作系统并沉定向到相应的攻击流。在Windows系统中，用户会看到全屏忠告页面，点击“持续”后，恶意JavaScript会将MSHTA号令复造到剪贴板，诱导用户执行，从而启动.NET加载法式并衔接到攻击者地址。在Linux系统中，用户点击“我不是机械人”按钮后会被沉定向到CAPTCHA页面，诱导其执行shell号令，将“mapeal.sh”负载投放到指标系统。只管当前版本的“mapeal.sh”仅从攻击者服务器获取JPEG图像，但APT36可能在测试Linux习染链的有效性，将来可能通过代替图像为shell脚正本装置恶意软件。

https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/

2. Marbled Dust利用零日缝隙攻击Output Messenger用户

5月12日，微软威胁谍报分析师近日发现，一个由土耳其支持的网络间谍组织Marbled Dust（别名Sea Turtle、SILICON和UNC1326）利用零日缝隙攻击与伊拉克库尔德军队有关的Output Messenger用户。该组织发现LAN新闻传递利用法式Output Messenger存在目录遍历缝隙（CVE-2025-27920），此缝隙可使经过身份验证的攻击者接见指标目录表的敏感文件或在服务器启动文件夹中部署恶意负载。利用法式开发商Srimax在12月颁布的安全布告中指出，攻击者可能借此接见配置文件、敏感用户数据甚至源代码，进而导致远程代码执行等进一步攻击。该缝隙已在Output Messenger V2.0.63版本中得到建补。然而，Marbled Dust在获得Output Messenger Server Manager利用法式接见权限后，仍针对未更新系统的用户提议攻击并习染恶意软件。攻下服务器后，该组织可窃取敏感数据、接见用户通讯、假意用户、接见内部系统并导致运营中断。微软评估以为，Marbled Dust可能利用DNS劫持或域名抢注技术拦截、纪录和沉复使用痛处。攻击者在受害者设备上部署后门法式，查抄与攻击者节造的号令和节造域的衔接性，并向威胁行为者提供信息以鉴别受害者。

https://www.bleepingcomputer.com/news/security/output-messenger-flaw-exploited-as-zero-day-in-espionage-attacks/

3. 恶意npm包针对macOS版Cursor编纂器发起供给链攻击

5月9日，网络安全钻研人员近日发现三个恶意npm软件包针对苹果macOS版人为智能驱动的源代码编纂器Cursor发起攻击。这些软件包假装成开发者工具，通过窃取用户凭证、从攻击者节造的服务器获取加密载荷并覆盖Cursor的合法文件，进而禁用自动更新机造以维持悠久性驻留。受影响的软件包蕴含sw-cur、sw-cur1和aiide-cur，截至5月9日仍可在npm仓库下载。装置后，这些软件包会窃取用户输入的Cursor凭证，并从远程服务器获取第二阶段载荷，用恶意代码代替合法文件，甚至禁用Cursor的自动更新职能，沉启利用使恶意代码生效，使攻击者能在平台上执行肆意代码。Socket公司钻研员指出，这反映出攻击者正通过恶意npm包篡改开发者系统现有合法软件的新趋向，即便删除恶意软件包，仍需沉新装置被篡改的软件能力彻底断根威胁。此表，攻击者还利用开发者对AI工具的兴致执行垂钓，以“最便宜Cursor API”为钓饵吸引用户装置后门。同时，安全钻研员还披露了另表两个恶意npm包，它们通过“包装器模式”传布一样恶意代码，窃取加密钱币平台数据。另表，安全公司Aikido也发现合法npm包“rand-user-agent”遭供给链攻击，恶意版本植入远程节造木马，通过与表部服务器通讯实现目录切换、文件上传和号令执行。

https://thehackernews.com/2025/05/malicious-npm-packages-infect-3200.html

4. ASUS DriverHub曝远程代码执行缝隙，建议用户尽快更新

5月12日，ASUS DriverHub驱动法式治理实用法式被曝存在严沉远程代码执行缝隙，该缝隙由新西兰独立网络安全钻研员保罗发现。DriverHub作为华硕官方驱动法式治理工具，会在某些华硕主板初次系统启动时自动装置，并在后盾通过端口53000运行，持续查抄驱动法式更新。然而，该软件对发送到后盾服务的号令验证不及，攻击者可利用CVE-2025-3462和CVE-2025-3463缝隙创建缝隙利用链，绕过源站验证，在指标设备上触发远程代码执行。缝隙的关键在于软件对Origin Header的查抄执行不力，任何蕴含“driverhub.asus.com”字符串的网站要求城市被接受，即便与华硕官方门户不齐全匹配。此表，UpdateApp端点允许从“.asus.com”URL下载并运行.exe文件，无需用户确认，进一步加剧了风险。攻击者可诱骗用户接见恶意网站，通过糊弄Origin Header绕过验证，向本地服务发送恶意要求，下载并执行恶意文件�；队�2025年4月8日收到汇报，4月18日执行建复，但CVE描述中存在误导性申明，称问题仅限于主板，而现实上会影响装置了DriverHub的笔记本电脑和台式电脑�；栋踩几娼ㄒ橛没Ь】旄轮磷钚掳姹�。若对后盾服务自动获取潜在危险文件不满，可从BIOS设置中禁用DriverHub。

https://www.bleepingcomputer.com/news/security/asus-driverhub-flaw-let-malicious-sites-run-commands-with-admin-rights/

5. 勒索团伙麒麟从俄亥俄州警长办公室窃取百GB文件

5月9日，一个俄罗斯勒索软件团队麒麟宣称从俄亥俄州汉密尔顿县警长办公室窃取了近100GB文件，其中据称蕴含公共安全信息。麒麟是臭名远扬的勒索软件即服务（RaaS）组织，于5月4日在其地下网站上颁布泄密通知，宣称持有从警长系统窃取的128,294个文件。该团伙以执行双沉勒索而闻名，要求受害者支付用度以解锁系统和预防数据泄露，不然会将文件上传到网上。麒麟宣称窃取的文件蕴含7月4日公共安全打算的谍报，可能涉及游行路线、人群节造以及节日期间警员值班铺排，还宣称把握了警长办公室招聘缘由的内部信息。值妥贴心的是，该县办公室目前在哀悼一位持久任职的副警长拉里·亨德森，他于5月2日在一场车祸中被有意杀害。麒麟自2022年初次呈此刻勒索软件圈中以来，就因袭击医院而广为人知，曾对英国国民医疗服务系统（NHS）合作同伴Synnovis尝试室发起黑客攻击，导致伦敦五家公立医院关键服务瘫痪。麒麟是最活跃的勒索软件团伙之一，已有403名受害者。

https://cybernews.com/cybercrime/hamilton-county-sheriff-ransomware-attack/

6. FreeDrain垂钓圈套导致加密钱币爱好者钱包被清空

5月12日，一项名为FreeDrain的复杂垂钓打算自2022年起持续针对Web3项目，大规模清空加密钱币钱包。该打算最初于2024年4月被Validin检测为单一的加密垂钓网站网络，但随后显露出更高复杂性和更大规模，促使互联网谍报平台提供商与SentinelOne的钻研团队SentinelLabs合作调查。FreeDrain打算未依赖垂钓邮件、短信垂钓等常见伎俩，而是通过SEO把持、免费层级网络服务和分层沉定向技术对准加密钱币钱包。受害者在点击高排名搜索引擎了局后，试图查抄钱包余额时，会无意间将钱包助记词提交至垂钓网站。助记词是复原加密钱币钱包并接见资金的关键，被盗资产迅快通过加密钱币混币器转移，使得追踪和追回险些不成能。钻研人员发现，FreeDrain行动通过云基础设施托管大量钓饵页面，仿照合法加密钱币钱包界面，并综合使用多种技术诱使受害者误以为网站合法。此表，运营者还通过在守护不善的网站上进行大规模评论灌水，提升钓饵页面的可见度。调查显示，FreeDrain使用一时基础设施和共享免费服务，溯源行动拥有挑战性，但钻研人员通过度析仓库元数据、行为信号和功夫痕迹，成功获取了运营者特点的沉要线索，批注该行动极可能由印度境内人员在尺度工作日时段执行。

https://www.infosecurity-magazine.com/news/freedrain-phishing-scam-crypto/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研