威胁行为者已经加强了一项新的社交工程活动,称为“ClickFix”,其中嵌入受损或克隆网站的虚假CAPTCHA提示诱使用户通过剪贴板注入和Windows Run对话框滥用来启动恶意软件。

在最近的一份报告中,SentinelOne揭示了这种欺骗性技术在过去一年中是如何演变的,将用户疲劳与巧妙地使用合法的Windows工具来执行Lumma Stealer和NetSupport RAT等恶意有效载荷相结合。

“受害者经过社会工程改造,以解决恶意挑战,导致执行PowerShell代码,然后是额外的有效载荷,”研究人员解释说。

攻击始于一个看似无害的CAPTCHA提示,用户在受损的网站上遇到,虚假的登录门户,钓鱼电子邮件,甚至社交媒体链接。受害者被引导通过一个感觉熟悉的序列 – 验证你是人类,解决一个难题 – 但以更险恶的东西结束。

“受害者需要解决CAPTCHA……然后将剪贴板中的隐藏内容粘贴到Windows’Run’对话框中。

嵌入的脚本将恶意的 PowerShell 或 mshta 命令复制到剪贴板。粘贴到运行对话框并执行后,它会联系命令和控制服务器以下载恶意软件。

ClickFix严重依赖可信系统二进制文件(Living Off the Land Binaries,LOLBins)来绕过传统防御。攻击者通常使用以下工具:

PowerShell – 用于执行编码的有效载荷。mshta.exe – 加载恶意 HTA 内容。certutil.exe – 解码或下载二进制文件。

“Certutil.exe也经常与PowerShell命令或脚本结合使用,”SentinelOne指出。

ClickFix 活动与几个臭名昭著的恶意软件家族有关:

Lumma Stealer – 针对浏览器数据、凭据和加密货币钱包的信息窃取者。NetSupport RAT – 用于完整系统访问的合法远程管理工具。SectopRAT – 一种隐秘的远程访问工具,能够启动隐藏的第二个桌面进行浏览器操作。

“最常观察到的[有效负载]导致各种信息窃取木马和远程访问工具的下载和推出,”报告指出。

ClickFix 的独特之处在于它的简单性。没有零日漏洞,没有隐藏的iframe – 只是一个令人信服的假CAPTCHA和用户愿意将命令粘贴到Windows中。

“ClickFix依赖于用户对反垃圾邮件机制的疲劳,”SentinelOne警告说。“事实证明,欺骗受害者以这种方式感染自己是非常有效的。