一场名为 “Clickflix 技术” 的复杂网络钓鱼活动已经出现，它通过看似合法的品牌合作请求，将目标对准了 YouTube 内容创作者。

这种新的攻击手段利用创作者急于获得赞助的心理，把恶意软件有效载荷伪装成合作文档。

网络犯罪分子通过电子邮件或社交媒体发起联系，冒充知名品牌的营销代表，提供丰厚的合作条件，要求创作者查看托管在受攻击域名或云存储上的 “活动资料”。

攻击者通常会接触粉丝数量在 1 万至 50 万之间的创作者，精心编写邮件，提及创作者的内容风格和以往的赞助情况，以此建立可信度。

创作者点击恶意链接后，会被导向仿冒热门文件共享服务的专业外观登录页面，并被提示下载看似 PDF 合同或活动简报的文件。

CloudSek 的研究人员在 2025 年 3 月初发现了这场活动，并指出该恶意软件采用了多阶段感染过程，旨在规避传统安全防护措施。

他们的分析显示，在游戏、科技评测和生活方式等领域，有超过 2300 名创作者成为攻击目标，约 18% 的目标被成功入侵。

此次攻击利用了社会工程学原理，并结合技术欺骗手段，经常给出限时优惠，迫使创作者仓促做出决定。

受害者称收到了提及他们制作的特定视频的定制信息，这表明威胁行为者在发起联系前进行了大量侦察工作。

感染机制利用 JavaScript 混淆技术

恶意软件的主要感染途径是使用一种复杂的 JavaScript 下载器，当受害者打开看似标准的 HTML 预览页面时，该下载器就会执行。

初始有效载荷采用了多层混淆技术，最后阶段类似于这个简化示例：

const decoderKey = navigator.userAgent.slice (0,8);

eval (function (p,a,c,k,e,d){

/* 高度混淆的 PowerShell 下载器 */

return p;

}(‘powershell -w hidden -e JGNsaWVudCA9…’))

这段混淆代码最终会触发一个 PowerShell 命令，下载一个窃取器，该窃取器专门针对浏览器数据，尤其侧重于 YouTube Studio 的凭证、Google 身份验证令牌和加密货币钱包信息。

恶意软件通过修改 Windows 注册表和创建诸如 “GoogleUpdateTask” 等看似无害名称的计划任务来实现持久化，以避免在常规系统检查中被发现。

这次攻击表明，针对内容创作者的定向攻击活动正变得越来越复杂。由于内容创作者具有货币化潜力以及能够接触到庞大的受众群体，他们日益成为有价值的攻击目标。