Linux-variant van aanval met malafide captcha ontdekt
Onderzoekers hebben een Linux-variant van de aanval met malafide captcha's ontdekt. Bij dergelijke aanvallen, die ook wel ClickFix worden genoemd, proberen aanvallers het doelwit een malafide commando op het systeem te laten uitvoeren. De aanvallers maken daarvoor gebruik van een zogenaamde captcha. Het doelwit krijgt eerst een melding te zien dat hij een 'captcha' moet oplossen. Het malafide commando is vaak dan al naar het clipboard gekopieerd.
De betreffende pagina bevat ook instructies voor het plakken en uitvoeren van het gekopieerde commando. Bij de Windows-variant gaat het om een PowerShell-commando waarmee malware wordt gedownload. Securitybedrijf Hunt.io meldt nu het bestaan van een Linux-variant, die verscheen op een nagemaakte versie van de website van het Indiase ministerie van Defensie. Hoe doelwitten hiernaartoe werden gelokt laten de onderzoekers niet weten.
De website laat als eerste een captcha zien. Zodra het doelwit op deze captcha klikt wordt een shell-commando naar het clipboard gekopieerd. Vervolgens wordt het doelwit doorgestuurd naar een pagina met instructies voor het doorlopen van de 'verificatiestappen'. In werkelijkheid wordt met de gegeven instructies een terminal geopend, waarna het doelwit het plakcommando moet uitvoeren, gevolgd door enter. Het dan uitgevoerde script downloadt een afbeelding die in de achtergrond wordt geopend. De onderzoekers zagen geen verdere activiteiten. Het zou dan ook om een test kunnen gaan. Volgens de onderzoekers blijven aanvallers ClickFix-achtige technieken in nieuwe contexten testen.
Maar het is niet universeel voor Linux. Het hangt af van de window of desktop manager die je gebruikt, en daar zijn veel mogelijkheden voor. In i3, dat ik gebruik, moet ik de windows-toets+enter intypen voor een terminalvenster, en als ik me goed herinner was dat in een andere tiling window manager die ik eerder gebruikte ook zo.
Zo ook bij het installeren van PPA's (alternatieve repo's) en dergelijke potentiele gevaren.
Wel zou het eventueel kunnen leiden tot potentiele nieuwe exploitaties, terminal commands zijn immers veelvuldig en veelzijdig.
Een beetje hardening van het OS zelf kan ook geen kwaad, denk hierbij aan containerization (sandboxing) en het minimaliseren van resources voor een effectievere exploit mitigatie. (Sluit functies buiten die niet vereist zijn)
Het instalkeren van flatpaks helpt hierbij, evenals besturingsystemen zoals Fedora Silverblue, (immutable) ParrotOS, QubesOS+Whonix, TailsOS, etc.(Vooral die laatste twee zijn zeer krachtig)
Zet tevens de Linux firewall aan en gebruik desnoods een blackist van IP's via IPtables-functionaliteit.
Oh, en kopieer nooit zomaar commands van websites zonder na te gaan wat deze precies doen als men niet bekend is met Linux commands.
Zo ook bij het installeren van PPA's (alternatieve repo's) en dergelijke potentiele gevaren.
Wel zou het eventueel kunnen leiden tot potentiele nieuwe exploitaties, terminal commands zijn immers veelvuldig en veelzijdig.
Een beetje hardening van het OS zelf kan ook geen kwaad, denk hierbij aan containerization (sandboxing) en het minimaliseren van resources voor een effectievere exploit mitigatie. (Sluit functies buiten die niet vereist zijn)
Het instalkeren van flatpaks helpt hierbij, evenals besturingsystemen zoals Fedora Silverblue, (immutable) ParrotOS, QubesOS+Whonix, TailsOS, etc.(Vooral die laatste twee zijn zeer krachtig)
Zet tevens de Linux firewall aan en gebruik desnoods een blackist van IP's via IPtables-functionaliteit.
Oh, en kopieer nooit zomaar commands van websites zonder na te gaan wat deze precies doen als men niet bekend is met Linux commands.
Even zoeken op "ALT+F2 terminal" geeft resultaten die over GNOME gaan. Ik zie ook een beschrijving die zegt dat het een "run application"-dialoogvenstertje opent, geschreven door iemand die voor zover ik zie verzuimt te vermelden over welke window of desktop manager die het heeft. [...]
Zo ook bij het installeren van PPA's (alternatieve repo's) en dergelijke potentiele gevaren.
Wel zou het eventueel kunnen leiden tot potentiele nieuwe exploitaties, terminal commands zijn immers veelvuldig en veelzijdig.
Een beetje hardening van het OS zelf kan ook geen kwaad, denk hierbij aan containerization (sandboxing) en het minimaliseren van resources voor een effectievere exploit mitigatie. (Sluit functies buiten die niet vereist zijn)
Het instalkeren van flatpaks helpt hierbij, evenals besturingsystemen zoals Fedora Silverblue, (immutable) ParrotOS, QubesOS+Whonix, TailsOS, etc.(Vooral die laatste twee zijn zeer krachtig)
Zet tevens de Linux firewall aan en gebruik desnoods een blackist van IP's via IPtables-functionaliteit.
Oh, en kopieer nooit zomaar commands van websites zonder na te gaan wat deze precies doen als men niet bekend is met Linux commands.
Dus die grap gaat niet meer op hier.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?