Nieuws
image

Linux-variant van aanval met malafide captcha ontdekt

dinsdag 13 mei 2025, 13:43 door Redactie, 5 reacties

Onderzoekers hebben een Linux-variant van de aanval met malafide captcha's ontdekt. Bij dergelijke aanvallen, die ook wel ClickFix worden genoemd, proberen aanvallers het doelwit een malafide commando op het systeem te laten uitvoeren. De aanvallers maken daarvoor gebruik van een zogenaamde captcha. Het doelwit krijgt eerst een melding te zien dat hij een 'captcha' moet oplossen. Het malafide commando is vaak dan al naar het clipboard gekopieerd.

De betreffende pagina bevat ook instructies voor het plakken en uitvoeren van het gekopieerde commando. Bij de Windows-variant gaat het om een PowerShell-commando waarmee malware wordt gedownload. Securitybedrijf Hunt.io meldt nu het bestaan van een Linux-variant, die verscheen op een nagemaakte versie van de website van het Indiase ministerie van Defensie. Hoe doelwitten hiernaartoe werden gelokt laten de onderzoekers niet weten.

De website laat als eerste een captcha zien. Zodra het doelwit op deze captcha klikt wordt een shell-commando naar het clipboard gekopieerd. Vervolgens wordt het doelwit doorgestuurd naar een pagina met instructies voor het doorlopen van de 'verificatiestappen'. In werkelijkheid wordt met de gegeven instructies een terminal geopend, waarna het doelwit het plakcommando moet uitvoeren, gevolgd door enter. Het dan uitgevoerde script downloadt een afbeelding die in de achtergrond wordt geopend. De onderzoekers zagen geen verdere activiteiten. Het zou dan ook om een test kunnen gaan. Volgens de onderzoekers blijven aanvallers ClickFix-achtige technieken in nieuwe contexten testen.

Image

Reacties (5)
Reageer met quote
Vandaag, 14:47 door Anoniem
Even zoeken op "ALT+F2 terminal" geeft resultaten die over GNOME gaan. Ik zie ook een beschrijving die zegt dat het een "run application"-dialoogvenstertje opent, geschreven door iemand die voor zover ik zie verzuimt te vermelden over welke window of desktop manager die het heeft. De beschreven "verification steps" werken voor allebei, natuurlijk.

Maar het is niet universeel voor Linux. Het hangt af van de window of desktop manager die je gebruikt, en daar zijn veel mogelijkheden voor. In i3, dat ik gebruik, moet ik de windows-toets+enter intypen voor een terminalvenster, en als ik me goed herinner was dat in een andere tiling window manager die ik eerder gebruikte ook zo.
Reageer met quote
Vandaag, 15:48 door Anoniem
Vaak heb je nog steeds een wachtwoord-verificatie voor wijzigingen binnenin het systeem.
Zo ook bij het installeren van PPA's (alternatieve repo's) en dergelijke potentiele gevaren.
Wel zou het eventueel kunnen leiden tot potentiele nieuwe exploitaties, terminal commands zijn immers veelvuldig en veelzijdig.
Een beetje hardening van het OS zelf kan ook geen kwaad, denk hierbij aan containerization (sandboxing) en het minimaliseren van resources voor een effectievere exploit mitigatie. (Sluit functies buiten die niet vereist zijn)
Het instalkeren van flatpaks helpt hierbij, evenals besturingsystemen zoals Fedora Silverblue, (immutable) ParrotOS, QubesOS+Whonix, TailsOS, etc.(Vooral die laatste twee zijn zeer krachtig)
Zet tevens de Linux firewall aan en gebruik desnoods een blackist van IP's via IPtables-functionaliteit.
Oh, en kopieer nooit zomaar commands van websites zonder na te gaan wat deze precies doen als men niet bekend is met Linux commands.
Reageer met quote
Vandaag, 16:34 door Anoniem
Door Anoniem: Vaak heb je nog steeds een wachtwoord-verificatie voor wijzigingen binnenin het systeem.
Zo ook bij het installeren van PPA's (alternatieve repo's) en dergelijke potentiele gevaren.
Wel zou het eventueel kunnen leiden tot potentiele nieuwe exploitaties, terminal commands zijn immers veelvuldig en veelzijdig.
Een beetje hardening van het OS zelf kan ook geen kwaad, denk hierbij aan containerization (sandboxing) en het minimaliseren van resources voor een effectievere exploit mitigatie. (Sluit functies buiten die niet vereist zijn)
Het instalkeren van flatpaks helpt hierbij, evenals besturingsystemen zoals Fedora Silverblue, (immutable) ParrotOS, QubesOS+Whonix, TailsOS, etc.(Vooral die laatste twee zijn zeer krachtig)
Zet tevens de Linux firewall aan en gebruik desnoods een blackist van IP's via IPtables-functionaliteit.
Oh, en kopieer nooit zomaar commands van websites zonder na te gaan wat deze precies doen als men niet bekend is met Linux commands.
Je vergeet de belangrijkste: Noexec optie zetten op $HOME /tmp en /dev/shm partitie
Reageer met quote
Vandaag, 16:36 door Anoniem
In werkelijkheid wordt met de gegeven instructies een terminal geopend, waarna het doelwit het plakcommando moet uitvoeren, gevolgd door enter
Kansloos en al helemaal als noexec optie wordt gezet. Linux != Windows
Reageer met quote
Vandaag, 18:02 door Spiff has left the building
Door Anoniem, 13-05-2025, 14:47 uur:
Even zoeken op "ALT+F2 terminal" geeft resultaten die over GNOME gaan. Ik zie ook een beschrijving die zegt dat het een "run application"-dialoogvenstertje opent, geschreven door iemand die voor zover ik zie verzuimt te vermelden over welke window of desktop manager die het heeft. [...]
Disto's met KDE Plasma hebben KRunner, dat opent met Alt+F2.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure