ClickFix攻擊借仿冒Windows更新界面推送惡意軟件

研究人員發現，ClickFix攻擊出現新變體：攻擊者通過全屏瀏覽器頁面展示高度逼真的Windows更新動畫誘騙用戶，并將惡意代碼隱藏在圖像文件內。

ClickFix本質是一種社會工程學攻擊，其核心手法是誘使用戶在Windows命令提示符中粘貼并執行特定代碼或指令，最終導致惡意軟件在目標系統中運行。

由于攻擊成功率極高，ClickFix已被各層級網絡犯罪分子廣泛采用，且不斷迭代進化，所用誘騙手段的技術復雜度與迷惑性也日益提升。

全屏瀏覽器頁面的誘騙邏輯

自10月1日起，研究人員觀察到ClickFix攻擊的兩種主要誘騙借口：一是謊稱“需完成關鍵Windows安全更新的安裝”，二是更常見的“人機驗證”。

虛假更新頁面會引導受害者按特定順序按下快捷鍵，而這些操作會自動粘貼并執行攻擊者預設的指令——此前攻擊者已通過頁面中運行的JavaScript代碼，將惡意指令復制到用戶系統剪貼板。

假的Windows安全更新屏幕

托管安全服務提供商Huntress發布的報告指出，這些ClickFix新變體最終會釋放LummaC2與Rhadamanthys兩款信息竊取惡意軟件。

具體來看，其中一種攻擊變體使用“人機驗證”頁面作為誘餌，另一種則依托仿冒的Windows更新界面；但無論采用哪種方式，攻擊者均通過隱寫術將最終的惡意軟件載荷編碼隱藏在圖像文件中。

攻擊者并非簡單地將惡意數據附加到文件中，而是將惡意代碼直接編碼到PNG圖像的像素數據內，借助特定顏色通道在內存中重構并解密惡意載荷。

惡意載荷的投遞與執行流程

惡意載荷的投遞始于調用Windows原生二進制文件mshta.exe，通過該程序執行惡意JavaScript代碼。

整個攻擊過程分為多個階段，涉及PowerShell代碼與一個.NET程序集（即“隱寫加載器”Stego Loader）——后者負責將加密狀態下隱藏在PNG文件中的最終惡意載荷重構出來。

在Stego Loader的清單資源中，存在一個AES加密的數據塊，該數據塊本質是一個隱寫PNG文件，其中包含的shellcode（外殼代碼）需通過自定義C。

研究人員還發現，攻擊者采用了一種名為“ctrampoline”的動態規避技術：入口點函數會調用10000個空函數，以此干擾安全檢測。

Trampoline調用鏈

隱藏信息竊取惡意軟件的shellcode從加密圖像中提取后，會通過Donut工具進行加殼處理——該工具支持在內存中直接執行VBScript、JScript、EXE、DLL文件及.NET程序集，進一步提升攻擊隱蔽性。

脫殼完成后，Huntress研究人員成功提取出惡意軟件，在此次分析的攻擊案例中，涉及的正是LummaC2與Rhadamanthys。

下圖直觀展示了整個攻擊流程的技術細節：

攻擊概述

攻擊溯源與安全干預

早在10月，研究人員就已發現采用“Windows更新”誘餌的Rhadamanthys攻擊變體；隨后在11月13日，Operation Endgame執法行動摧毀了該惡意軟件的部分基礎設施。

Huntress報告指出，此次執法行動的直接成效是：盡管仿冒Windows更新的惡意域名仍處于活躍狀態，但已無法再投遞惡意載荷。

為防范此類ClickFix攻擊，研究人員建議采取兩項核心防護措施：一是禁用Windows“運行”對話框；二是監控可疑進程鏈，例如“explorer.exe衍生出mshta.exe”或“explorer.exe衍生出PowerShell”的異常進程關系。

此外，在調查網絡安全事件時，分析人員可檢查“RunMRU”注冊表項——該注冊表項會記錄用戶在Windows“運行”對話框中輸入過的指令，可為攻擊溯源提供關鍵線索。

參考及來源：https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/