ClickFix攻击跨Windows、Linux系统实验社会工程诱骗

首页 > 清静研究 > 清静转达 > 清静简讯

ClickFix攻击跨Windows、Linux系统实验社会工程诱骗

宣布时间 2025-05-13

1. ClickFix攻击跨Windows、Linux系统实验社会工程诱骗

5月12日，，，克日，，，一项使用ClickFix攻击的新活动被发明，，，该活动针对Windows和Linux系统，，，接纳可熏染任一操作系统的指令。。。。。。。ClickFix作为一种社会工程战略，，，通过虚伪验证系统或应用程序过失诱骗用户运行恶意下令。。。。。。。古板上，，，此类攻击主要针对Windows系统，，，通过诱骗用户执行PowerShell剧本，，，导致信息窃取或勒索软件熏染。。。。。。。然而，，，2024年已有活动针对macOS用户，，，且近期Hunt.io研究职员发明，，，与巴基斯坦有关的APT36（又名“透明部落”）威胁组织提倡了一项针对Linux系统的ClickFix攻击。。。。。。。该组织使用冒充印度国防部的网站，，，附上虚伪新闻稿链接，，，当用户点击后，，，平台会剖析其操作系统并重定向到响应的攻击流。。。。。。。在Windows系统中，，，用户会看到全屏忠言页面，，，点击“继续”后，，，恶意JavaScript会将MSHTA下令复制到剪贴板，，，诱导用户执行，，，从而启动.NET加载程序并毗连到攻击者地点。。。。。。。在Linux系统中，，，用户点击“我不是机械人”按钮后会被重定向到CAPTCHA页面，，，诱导其执行shell下令，，，将“mapeal.sh”负载投放到目的系统。。。。。。。只管目今版本的“mapeal.sh”仅从攻击者效劳器获取JPEG图像，，，但APT36可能正在测试Linux熏染链的有用性，，，未来可能通过替换图像为shell脚原来装置恶意软件。。。。。。。

https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/

2. Marbled Dust使用零日误差攻击Output Messenger用户

5月12日，，，微软威胁情报剖析师克日发明，，，一个由土耳其支持的网络特工组织Marbled Dust（又名Sea Turtle、SILICON和UNC1326）使用零日误差攻击与伊拉克库尔德军队有关的Output Messenger用户。。。。。。。该组织发明LAN新闻转达应用程序Output Messenger保存目录遍历误差（CVE-2025-27920），，，此误差可使经由身份验证的攻击者会见目的目录外的敏感文件或在效劳器启动文件夹中安排恶意负载。。。。。。。应用程序开发商Srimax在12月宣布的清静通告中指出，，，攻击者可能借此会见设置文件、敏感用户数据甚至源代码，，，进而导致远程代码执行等进一步攻击。。。。。。。该误差已在Output Messenger V2.0.63版本中获得修补。。。。。。。然而，，，Marbled Dust在获得Output Messenger Server Manager应用程序会见权限后，，，仍针对未更新系统的用户提倡攻击并熏染恶意软件。。。。。。。攻陷效劳器后，，，该组织可窃取敏感数据、会见用户通讯、冒充用户、会见内部系统并导致运营中止。。。。。。。微软评估以为，，，Marbled Dust可能使用DNS挟制或域名抢注手艺阻挡、纪录和重复使用凭证。。。。。。。攻击者在受害者装备上安排后门程序，，，检查与攻击者控制的下令和控制域的毗连性，，，并向威胁行为者提供信息以识别受害者。。。。。。。

https://www.bleepingcomputer.com/news/security/output-messenger-flaw-exploited-as-zero-day-in-espionage-attacks/

3. 恶意npm包针对macOS版Cursor编辑器发动供应链攻击

5月9日，，，网络清静研究职员克日发明三个恶意npm软件包针对苹果macOS版人工智能驱动的源代码编辑器Cursor发动攻击。。。。。。。这些软件包伪装成开发者工具，，，通过窃取用户凭证、从攻击者控制的效劳器获取加密载荷并笼罩Cursor的正当文件，，，进而禁用自动更新机制以维持长期性驻留。。。。。。。受影响的软件包包括sw-cur、sw-cur1和aiide-cur，，，阻止5月9日仍可在npm客栈下载。。。。。。。装置后，，，这些软件包会窃取用户输入的Cursor凭证，，，并从远程效劳器获取第二阶段载荷，，，用恶意代码替换正当文件，，，甚至禁用Cursor的自动更新功效，，，重启应用使恶意代码生效，，，使攻击者能在平台上执行恣意代码。。。。。。。Socket公司研究员指出，，，这反应出攻击者正通过恶意npm包改动开发者系统现有正当软件的新趋势，，，纵然删除恶意软件包，，，仍需重新装置被改动的软件才华彻底扫除威胁。。。。。。。别的，，，攻击者还使用开发者对AI工具的兴趣实验垂纶，，，以“最自制Cursor API”为诱饵吸引用户装置后门。。。。。。。同时，，，清静研究员还披露了另外两个恶意npm包，，，它们通过“包装器模式”撒播相同恶意代码，，，窃取加密钱币平台数据。。。。。。。另外，，，清静公司Aikido也发明正当npm包“rand-user-agent”遭供应链攻击，，，恶意版本植入远程控制木马，，，通过与外部效劳器通讯实现目录切换、文件上传和下令执行。。。。。。。

https://thehackernews.com/2025/05/malicious-npm-packages-infect-3200.html

4. ASUS DriverHub曝远程代码执行误差，，，建议用户尽快更新

5月12日，，，ASUS DriverHub驱动程序治理适用程序被曝保存严重远程代码执行误差，，，该误差由新西兰自力网络清静研究员保罗发明。。。。。。。DriverHub作为华硕官方驱动程序治理工具，，，会在某些华硕主板首次系统启动时自动装置，，，并在后台通过端口53000运行，，，一连检查驱动程序更新。。。。。。。然而，，，该软件对发送到后台效劳的下令验证缺乏，，，攻击者可使用CVE-2025-3462和CVE-2025-3463误差建设误差使用链，，，绕过源站验证，，，在目的装备上触发远程代码执行。。。。。。。误差的要害在于软件对Origin Header的检查执行不力，，，任何包括“driverhub.asus.com”字符串的网站请求都会被接受，，，纵然与华硕官方门户不完全匹配。。。。。。。别的，，，UpdateApp端点允许从“.asus.com”URL下载并运行.exe文件，，，无需用户确认，，，进一步加剧了危害。。。。。。。攻击者可诱骗用户会见恶意网站，，，通过诱骗Origin Header绕过验证，，，向外地效劳发送恶意请求，，，下载并执行恶意文件。。。。。。�；；；；队�2025年4月8日收到报告，，，4月18日实验修复，，，但CVE形貌中保存误导性声明，，，称问题仅限于主板，，，而现实上会影响装置了DriverHub的条记本电脑和台式电脑。。。。。。�；；；；肚寰餐ǜ娼ㄒ橛没Ь】旄轮磷钚掳姹�。。。。。。。若对后台效劳自动获取潜在危险文件不满，，，可从BIOS设置中禁用DriverHub。。。。。。。

https://www.bleepingcomputer.com/news/security/asus-driverhub-flaw-let-malicious-sites-run-commands-with-admin-rights/

5. 勒索团伙麒麟从俄亥俄州警长办公室窃取百GB文件

5月9日，，，一个俄罗斯勒索软件团队麒麟宣称从俄亥俄州汉密尔顿县警长办公室窃取了近100GB文件，，，其中据称包括公共清静信息。。。。。。。麒麟是污名昭著的勒索软件即效劳（RaaS）组织，，，于5月4日在其地下网站上宣布泄密通知，，，声称持有从警长系统窃取的128,294个文件。。。。。。。该团伙以实验双重勒索而著名，，，要求受害者支付用度以解锁系统和避免数据泄露，，，不然会将文件上传到网上。。。。。。。麒麟声称窃取的文件包括7月4日公共清静妄想的情报，，，可能涉及游行蹊径、人群控制以及节日时代警员值班安排，，，还声称掌握了警长办公室招聘启事的内部信息。。。。。。。值得注重的是，，，该县办公室现在正在追悼一位恒久任职的副警长拉里·亨德森，，，他于5月2日在一场车祸中被居心杀戮。。。。。。。麒麟自2022年首次泛起在勒索软件圈中以来，，，就因袭击医院而广为人知，，，曾对英国国民医疗效劳系统（NHS）相助同伴Synnovis实验室发动黑客攻击，，，导致伦敦五家公立医院要害效劳瘫痪。。。。。。。麒麟是最活跃的勒索软件团伙之一，，，已有403名受害者。。。。。。。

https://cybernews.com/cybercrime/hamilton-county-sheriff-ransomware-attack/

6. FreeDrain垂纶圈套导秩蚊钱币喜欢者钱包被清空

5月12日，，，一项名为FreeDrain的重大垂纶妄想自2022年起一连针对Web3项目，，，大规模清空加密钱币钱包。。。。。。。该妄想最初于2024年4月被Validin检测为简朴的加密垂纶网站网络，，，但随后展现出更高重大性和更大规模，，，促使互联网情报平台提供商与SentinelOne的研究团队SentinelLabs相助视察。。。。。。。FreeDrain妄想未依赖垂纶邮件、短信垂纶等常见手段，，，而是通过SEO使用、免费层级网络效劳和分层重定向手艺瞄准加密钱币钱包。。。。。。。受害者在点击高排名搜索引擎效果后，，，试图检查钱包余额时，，，会无意间将钱包助记词提交至垂纶网站。。。。。。。助记词是恢复加密钱币钱包并会见资金的要害，，，被盗资产迅速通过加密钱币混币器转移，，，使得追踪和追回险些不可能。。。。。。。研究职员发明，，，FreeDrain行动通过云基础设施托管大宗诱饵页面，，，模拟正当加密钱币钱包界面，，，并综合运用多种手艺诱使受害者误以为网站正当。。。。。。。别的，，，运营者还通过在维护不善的网站上举行大规模谈论灌水，，，提升诱饵页面的可见度。。。。。。。视察显示，，，FreeDrain使用暂时基础设施和共享免费效劳，，，溯源行动具有挑战性，，，但研究职员通太过析客栈元数据、行为信号和时间痕迹，，，乐成获取了运营者特征的主要线索，，，批注该行动极可能由印度境内职员在标准事情日时段实验。。。。。。。

https://www.infosecurity-magazine.com/news/freedrain-phishing-scam-crypto/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究