ClickFix 被网络犯罪分子和 APT 组织广泛采用

网络安全公司 Group-IB 报告称，自 2024 年 8 月以来，国家背景的黑客组织和一般网络犯罪分子都在积极采用一种名为 ClickFix 的技术来部署窃密软件。

ClickFix 是一种社会工程技术，其中网页上的恶意 JavaScript 代码会提示用户执行导致传递恶意负载的操作。

通常，用户会在包含恶意代码的假 reCAPTCHA 页面上看到一个提示，指示他们执行更新、修复错误或验证自己是人类。

恶意 JavaScript 代码将命令复制到剪贴板，并指示用户按 Win+R 打开 Windows 运行对话框，使用 Ctrl+V 组合键粘贴剪贴板内容，然后按 Enter。

这会导致恶意命令在受害者的机器上执行，并传递恶意软件负载，通常是信息窃取程序，例如 Lumma、XWorm RAT、VenomRAT、AsyncRAT 等。在一个实例中，最终负载是 DarkGate 恶意软件。

Group-IB 观察到威胁组织依靠论坛、社交媒体平台和评论部分上的网络钓鱼电子邮件、恶意广告和垃圾邮件，将受害者引导至恶意网站、模仿合法服务的网络钓鱼网站以及托管与 ClickFix 相关的恶意代码的受感染网站。

该技术的早期迭代于 2023 年 10 月被发现，伪装成 Cloudflare 反机器人保护提示。然而，更成熟的技术 ClickFix 的广泛采用始于 2024 年 8 月，并且似乎自 2025 年初以来有所加速。

通过寻找这些攻击中观察到的伪造 reCAPTCHA 元素和复制到剪贴板功能，Group-IB 发现了 ClickFix 页面的多个变体，这些页面冒充 Google reCAPTCHA、社交媒体网站、Cloudflare 机器人保护或声称用户浏览器存在问题。

所有变体的工作方式都类似：提示用户单击“我不是机器人”、“修复它”或“复制修复”提示，自动将恶意代码复制到剪贴板，然后在运行对话框中执行代码。

Group-IB 指出：“可能性无穷无尽，而且该技术还在不断发展，不断寻找欺骗用户的创新方法。随着攻击者改进其方法，可以预见会出现更复杂的变体。”

Group-IB 观察到 ClickFix 攻击针对提供免费电影、游戏或破解软件的网站用户、GitHub 用户和企业用户。该公司还指出，与伊朗有关的MuddyWater和与俄罗斯有关的APT28等 APT 组织一直在攻击中使用 ClickFix 技术。

本周，微软警告称，北美、欧洲、大洋洲和亚洲的酒店业可能会遭受利用 ClickFix 技术的攻击，而Cofense 则详细介绍了该技术在 XWorm RAT 传播中的使用情况。

ClickFix：黑客用来操纵受害者的社会工程技术

https://www.group-ib.com/blog/clickfix-the-social-engineering-technique-hackers-use-to-manipulate-victims/

微软报告：

使用 ClickFix 社会工程技术的网络钓鱼活动冒充 Booking.com

https://www.microsoft.com/en-us/security/blog/2025/03/13/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware/

XWorm RAT 的崛起

https://cofense.com/blog/the-rise-of-xworm-rat-what-cybersecurity-teams-need-to-know-now

新闻链接：

https://www.securityweek.com/clickfix-widely-adopted-by-cybercriminals-apt-groups/

讲述普通人能听懂的安全故事