攻击者利用新型ClickFix技术，诱导用户执行恶意代码

网络安全研究人员发现了一种新型高级社会工程攻击活动，该攻击利用人们对日常计算机操作的基本信任心理。自2024年3月以来活跃的ClickFix技术，代表了网络犯罪战术的危险演变——通过攻击网络中最脆弱的环节（终端用户）来绕过传统安全措施。

这种欺骗性手法伪装成常规错误消息、CAPTCHA验证提示或系统维护通知，诱骗受害者在自己的系统上执行恶意代码。

攻击活动概况

该技术已在网络犯罪生态系统中迅速蔓延，吸引了从个体黑客到高级持续威胁（APT）组织的广泛关注，包括与俄罗斯和伊朗国家利益相关的APT28和MuddyWater组织。ClickFix攻击活动已成功入侵医疗保健、酒店、汽车制造和政府机构等多个行业，证明了这种以人为中心的攻击媒介具有普遍适用性。

Darktrace分析师在欧洲、中东、非洲和美国客户环境中均发现了ClickFix攻击案例，揭示了这一新兴威胁的全球性影响。调查显示，攻击者采用系统化攻击方式，利用鱼叉式钓鱼邮件、路过式下载（drive-by）攻击以及GitHub等可信平台的漏洞来投递恶意负载。

攻击手法剖析

攻击通常始于隐藏在电子邮件或被入侵合法网站恶意广告中的链接，这些链接会将毫无戒心的用户重定向到伪装成合法系统提示的恶意URL。ClickFix攻击利用用户解决表面技术问题的自然倾向进行心理操控。

受害者会遇到看似真实的虚假CAPTCHA提示或"修复"对话框，声称要解决网页显示错误或设备注册要求等虚构问题。一旦用户上钩，就会被引导完成看似标准的三步验证流程，最终导致系统执行恶意的PowerShell命令。

攻击影响范围

这些攻击造成的财务和运营影响远超初始系统入侵。在成功获得初始访问权限后，攻击者会在目标环境中建立命令控制（C2）通信通道，实现在网络中的横向移动，主要目的是获取并外泄敏感组织数据。攻击活动中经常部署与XWorm、Lumma和AsyncRAT等多个恶意软件家族相关的恶意负载。

感染机制技术分析

ClickFix攻击的技术复杂性不在于复杂的恶意软件开发，而在于社会工程与合法系统功能的无缝结合。攻击链始于受害者遇到精心设计的提示，指示他们按下Windows键+R打开运行对话框，然后按CTRL+V粘贴预加载的恶意PowerShell命令，最后按Enter键执行负载。

Darktrace对2025年4月9日一起特定攻击的调查揭示了该过程的技术细节。入侵行为启动了与命令控制基础设施的外部通信，触发了新的PowerShell用户代理检测，表明存在远程代码执行尝试。

恶意PowerShell命令包含复杂的混淆技术和基于时间戳的文件命名约定。对攻击期间捕获的网络流量分析显示，通过数据包捕获检查可以了解PowerShell脚本的功能。该命令将当前时间转换为Unix时间戳格式，创建看似无害数字字符串的动态命名文件。

例如，攻击生成名为"1744205184"的文件（对应执行时间戳），随后创建包含系统侦察数据的二级文件"1744205200"。

这段PowerShell代码展示了攻击方法：先设置目标IP地址、HTTP方法和系统信息收集变量，然后将完整的设备详细信息传输到位于193.36.38.237的命令控制服务器。外泄数据包括完整的系统规格、网络配置、安全功能和硬件细节，为攻击者规划后续攻击阶段提供了广泛情报。

原文来自: cybersecuritynews.com