Microsoft揭露了一场正在进行的网络钓鱼活动，该活动通过使用一种日益流行的名为 “ClickFix” 的社会工程学技术，冒充在线旅行社Booking.com，以向酒店业投放窃取凭证的恶意软件。

这家科技巨头表示，这一活动始于 2024 年 12 月，其最终目的是实施金融诈骗和盗窃。Microsoft将这一活动追踪代号命名为 “Storm-1865”。

Microsoft在与《The Hacker News》分享的一份报告中称：“这次网络钓鱼攻击专门针对北美、大洋洲、南亚和东南亚，以及欧洲北部、南部、东部和西部的酒店业机构人员，这些人最有可能与Booking.com合作。攻击者发送的虚假电子邮件伪装成来自Booking.com。”

近几个月来，ClickFix 技术愈发普遍，因为它诱骗用户在看似修复一个所谓（实际上并不存在）的错误的幌子下，通过复制、粘贴和执行欺骗性指令来激活恶意软件，从而启动感染过程。该技术于 2023 年 10 月首次在现实中被检测到。

攻击流程始于 “Storm-1865” 向目标个人发送一封恶意邮件，邮件内容是关于一位所谓的客人在Booking.com上留下的差评，并要求目标人员给出 “反馈”。邮件中还嵌入了一个链接，或者是一个 PDF 附件，附件中包含一个链接，表面上看是将收件人引导至Booking.com的预订页面。

然而，实际上，点击链接会将受害者引导至一个虚假的验证码（CAPTCHA）验证页面，这个页面覆盖在一个 “巧妙伪装的背景上，这个背景模仿了正规的Booking.com页面”。这样做的目的是给受害者一种虚假的安全感，从而增加成功入侵的可能性。

Microsoft表示：“虚假的验证码页面正是网页使用 ClickFix 社会工程学技术下载恶意有效载荷的地方。这种技术指示用户使用键盘快捷键打开 Windows 的运行窗口，然后粘贴并执行网页添加到剪贴板的一个命令。”

简而言之，该命令利用合法的 mshta.exe 二进制文件来释放下一阶段的有效载荷，其中包括各种常见的恶意软件家族，如 XWorm、Lumma 窃取器、VenomRAT、AsyncRAT、Danabot 和 NetSupport RAT。

Microsoft表示，此前曾观察到 “Storm-1865” 通过网络钓鱼信息针对使用电子商务平台的买家，这些信息会将用户引导至欺诈性的支付网页。因此，ClickFix 技术的运用表明了一种战术上的演变，旨在绕过针对网络钓鱼和恶意软件的传统安全措施。

Microsoft还称：“Microsoft追踪到的名为‘Storm-1865’的威胁行为者涵盖了一系列开展网络钓鱼活动的行为，这些活动导致支付数据被盗和欺诈性收费。”“至少从 2023 年初开始，这些活动就一直在持续，且规模不断扩大，涉及通过供应商平台（如在线旅行社和电子商务平台）以及电子邮件服务（如 Gmail 或 iCloud 邮件）发送的信息。”

Group-IB在今天发布的一份独立报告中指出：“值得注意的是，这种方法利用了人类的行为特点：通过为一个看似存在的问题提供一个看似合理的‘解决方案’，攻击者将执行恶意操作的责任转移到了用户身上，有效地避开了许多自动化的防御措施。”

这家新加坡网络安全公司记录的一次此类活动涉及利用 ClickFix 技术投放一个名为 SMOKESABER 的下载器，该下载器随后成为了传播 Lumma 窃取器的渠道。其他活动则利用恶意广告、搜索引擎优化投毒、GitHub 问题，以及在论坛或社交媒体网站上发布指向 ClickFix 页面的垃圾链接。

Group-IB表示：“ClickFix 技术标志着对抗性社会工程学策略的一种演变，它利用用户的信任和浏览器功能来部署恶意软件。网络犯罪分子和高级持续性威胁（APT）组织迅速采用这种方法，凸显了其有效性和较低的技术门槛。”

以下是一些已被记录在案的其他 ClickFix 活动：

1.使用虚假的验证码验证来启动一个多阶段的 PowerShell 执行过程，最终投放诸如 Lumma 和 Vidar 等信息窃取器。

2.被称为 “Blind Eagle” 的威胁行为者使用虚假的谷歌 reCAPTCHA 验证挑战来部署恶意软件。

3.使用虚假的预订确认链接将用户重定向到验证码验证页面，进而传播 Lumma 窃取器。

4.使用虚假的 Windows 主题网站将用户重定向到验证码验证页面，从而传播 Lumma 窃取器。

另一个活动的发现进一步体现了 Lumma 窃取器多样的感染机制。在这个活动中，攻击者使用虚假的 GitHub 存储库，这些存储库包含人工智能（AI）生成的内容，通过一个名为 SmartLoader 的加载器来传播 Lumma 窃取器。

Trend Micro在本周早些时候发布的一份分析报告中称：“这些恶意存储库伪装成非恶意工具，包括游戏作弊器、破解软件和加密货币实用工具。该活动以提供免费或非法的未经授权功能为诱饵吸引受害者，诱使他们下载 ZIP 文件（例如 Release.zip、Software.zip）。”

这次行动凸显了威胁行为者是如何滥用与 GitHub 等流行平台相关的信任来传播恶意软件的。

与此同时，Trustwave 公司详细介绍了一场电子邮件网络钓鱼活动，该活动利用与发票相关的诱饵来分发另一种名为 StrelaStealer 的信息窃取恶意软件的更新版本。据评估，该恶意软件由一个被称为 “Hive0145” 的单一威胁行为者操控。

该公司表示：“StrelaStealer 样本包含自定义的多层混淆和代码流扁平化处理，使其分析变得更加复杂。据报道，该威胁行为者可能开发了一种名为‘Stellar loader’的专门加密器，专门用于配合 StrelaStealer 使用。”