Новая атака ClickFix имитирует веб-сайт Министерства обороны и нацелена на системы Windows и Linux

Была выявлена новая кампания кибератак, использующая узнаваемый бренд Министерства обороны Индии для распространения кроссплатформенного вредоносного ПО, нацеленного как на системы Windows, так и на Linux.

Эта операция, обнаруженная исследователями по анализу угроз из Hunt.io, использует цепочку заражения в стиле ClickFix, имитируя официальные правительственные порталы пресс-релизов, чтобы заманить ничего не подозревающих пользователей к выполнению вредоносных задач .

Злоумышленники тщательно скопировали веб-сайт министерства, используя подмену инфраструктуры и визуальный обман, чтобы снизить подозрения и повысить доверие к своему вредоносному сайту, идентифицированному как email.gov.in.drdosurvey[.]info.

Скриншот страницы, на котором показана только ссылка за март 2025 года.

Атака начинается с мошеннической целевой страницы, которая точно копирует структуру и макет законного архива пресс-релизов Министерства обороны, созданного с использованием общедоступного инструмента клонирования веб-сайтов HTTrack, причем метаданные указывают на то, что клон был создан в начале марта 2025 года.

Технические подробности многоплатформенной атаки

На этом поддельном портале работает только одна активная ссылка на март 2025 года, что ведет пользователей в специально разработанную ловушку социальной инженерии ClickFix.

В зависимости от операционной системы жертвы атака перенаправляет на определенные страницы PHP: /captcha/windows.php для Windows и /captcha/linux.php для Linux.

Пользователи Windows сталкиваются с фальшивым предупреждением «Только для служебного использования (FOUO)» с размытым фоном настоящего правительственного сайта, за которым следует команда буфера обмена, выполняющая удаленную полезную нагрузку через mshta.exe из trade4wealth[.]in, доставляющая загрузчик на основе .NET, подключающийся к вредоносному IP-адресу (185.117.90[.]212).

Пользователям Linux предлагается заманить себя CAPTCHA-приманкой в виде неправильно написанной кнопки «Я не ребот», которая молча копирует команду оболочки для загрузки и выполнения скрипта (mapeal.sh), хотя в настоящее время он безвреден.

По данным Hunt Report , оба потока используют поддельный контент, например клонированные пресс-релизы, чтобы поддерживать иллюзию легитимности во время выполнения вредоносного ПО.

Обманный PDF-файл, показываемый жертве во время выполнения вредоносной программы.

Методы кампании, включая приманки на правительственную тематику, полезные нагрузки HTA и тайпсквоттинг, соответствуют моделям, исторически связанным с APT36 (Transparent Tribe), связанной с Пакистаном группировкой, известной своими нападениями на индийские правительственные учреждения, что позволяет предположить среднюю степень уверенности в причастности к этой группировке.

Эта атака подчеркивает эволюционирующее повторное использование знакомых методов ClickFix с тонкими инновациями, подчеркивая необходимость бдительности в отношении выполнения с использованием буфера обмена, поддельных поддоменов и поверхностных клонов веб-сайтов.

Ниже приведены основные индикаторы компрометации (IOC), связанные с этой кампанией, позволяющие защитникам отслеживать и минимизировать потенциальные угрозы.