Click Fix攻击活动攻击链详细分析

admin 2025年2月12日10:10:08评论33 views字数 1325阅读4分25秒阅读模式

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

Click Fix攻击是一种复杂的社会工程形式,利用真实性的外表来操纵用户执行恶意脚本,自2024年初首次出现以来,这种策略已导致多起恶意软件分发活动,涉及受感染的网站、恶意分发基础设施和电子邮件网络钓鱼。

最近一段时间Click Fix/Fake CAPTCHA攻击活动非常频繁,笔者对最新的一例Click Fix攻击活动的最新攻击链案例进行了详细分析,分享出来供大家参考学习,省略了高级样本的逆向分析过程,对这部分感兴趣的,可以自行调试分析研究一下,如果实在分析不出来,搞不定的时候,再来找笔者交流沟通吧,最近这类高级样本非常流行,全球的客户应该已经遇到了不少这样的攻击样本,很值得深入的分析研究一下。

攻击链分析

1.访问钓鱼网站,如下所示:

Click Fix攻击活动攻击链详细分析

2.点击验证按钮之后,如下所示:

Click Fix攻击活动攻击链详细分析

3.按照上面的提示信息,执行相关的操作,如下所示:

Click Fix攻击活动攻击链详细分析

4.执行上面的恶意脚本,恶意脚本会从远程服务器上下载高级恶意样本,如下所示:

Click Fix攻击活动攻击链详细分析

5.下载的高级恶意样本,使用NET语言编写,NET Reactor加壳保护,如下所示:

Click Fix攻击活动攻击链详细分析

6.动态调试,获取到核心的PayLoad,如下所示:

Click Fix攻击活动攻击链详细分析

7.核心PayLoad的编译时间为2025年2月7日,最新编译的攻击样本,如下所示:

Click Fix攻击活动攻击链详细分析

8.通过分析该PayLoad为一款窃密木马家族,里面包含各种流程混淆加密处置,如下所示:

Click Fix攻击活动攻击链详细分析

9.采用了DGA算法,生成远程服务器C2,如下所示:

Click Fix攻击活动攻击链详细分析

其他分析过程省略,该样本分析调试有点意思,最近也非常流行,有兴趣的朋友自己去研究一下。

对DGA解析出来的C2域名进行查询,在国内几家大安全厂家威胁情报平台均未标记。

如果对Click Fix/Fake CAPTCHA攻击活动感兴趣的,可以参考笔者之前发布的相关分析视频,里面有完整的攻击过程演示。

威胁情报

Click Fix攻击活动攻击链详细分析

总结结尾

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。

对高级恶意软件分析和研究感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族,笔者今年打算深度跟踪分析一些全球最顶级的TOP恶意软件家族,这些恶意软件家族都是全球最流行的,也是黑客攻击活动中最常见的恶意软件家族,被广泛应用到各种勒索攻击、黑灰产攻击、APT窃密攻击活动当中以达到攻击目的。

Click Fix攻击活动攻击链详细分析

安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。

Click Fix攻击活动攻击链详细分析

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

原文始发于微信公众号(安全分析与研究):Click Fix攻击活动攻击链详细分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月12日10:10:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Click Fix攻击活动攻击链详细分析https://cn-sec.com/archives/3730426.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息