關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2026.03.18
事件與威脅/資訊安全
ClickFix誘導型攻擊鏈之演進:勒索軟體與AI工具偽裝惡意程式
  1. 前言

近期資安威脅顯示,ClickFix 已從單一社交工程手法,演變為可支援多種攻擊目標的「標準化初始入侵技術」。攻擊者不再依賴漏洞或釣魚附件,而是透過誘導使用者手動執行指令,直接繞過傳統防護機制,並結合合法工具與無檔案化執行,建立高度隱蔽的攻擊鏈。本報告針對兩起近期代表性 ClickFix 攻擊進行分析,包括:

  • LeakNet 勒索軟體攻擊(企業導向)
  • Claude Fraud / MacSync Infostealer 攻擊(AI工具誘導)

並從攻擊流程、技術特徵與威脅演進進行整合說明。

  1. LeakNet 勒索軟體之 ClickFix 攻擊模式

LeakNet 為一個新興勒索軟體威脅行動,其攻擊鏈的核心在於利用 ClickFix 作為初始入侵手段。攻擊者透過偽造提示或錯誤訊息,引導使用者執行惡意命令,進而取得系統存取權限。與傳統勒索軟體不同,LeakNet 並未依賴漏洞利用或憑證竊取,而是將「使用者操作」轉化為攻擊入口。這種方式使攻擊成功率顯著提高,並降低對技術漏洞的依賴。

在後續階段,LeakNet 採用一項關鍵技術,即利用 Deno runtime 作為惡意程式執行環境。攻擊者透過合法的 Deno 執行 JavaScript payload,並直接在系統記憶體中執行,避免在硬碟留下明顯痕跡。此技術被稱為「Bring Your Own Runtime(BYOR)」,其核心優勢在於:

  • 使用合法且已簽章的程式(降低偵測機率)
  • 避開傳統惡意程式特徵檢測
  • 支援記憶體內執行(fileless)

攻擊進一步包含:

  • 系統指紋辨識與受害者識別
  • 與 C2 建立持續通訊
  • 憑證蒐集(如 klist)
  • 橫向移動(PsExec)
  • 資料外洩(濫用雲端儲存如 S3)

整體而言,LeakNet 展現出高度結構化與模組化的勒索攻擊鏈,並將 ClickFix 作為可重複利用的入口機制。

  1. Claude Fraud / MacSync ClickFix 攻擊模式

另一類 ClickFix 攻擊則針對開發者與AI工具使用者,利用 AI 生態系建立高度可信的誘導情境。該攻擊活動被稱為 Claude Fraud,主要透過假冒 Claude AI 工具與相關開發資源進行散布。

攻擊者透過 Google Ads 或搜尋結果,將使用者導向偽造的技術文件或安裝頁面。這些頁面通常設計精緻,模仿真實 AI 工具文件,使其對開發者具有高度可信度。

在操作流程中,使用者會被引導複製並執行 Terminal 指令,例如透過 shell script 或 base64 解碼命令下載程式。

此類操作在開發者社群中十分常見,因此大幅降低使用者警覺性。當命令執行後,系統即會下載並部署 MacSync Infostealer。MacSync 的主要行為包括:

  • 竊取 macOS Keychain 憑證
  • 擷取瀏覽器登入資訊與 session
  • 竊取加密貨幣錢包金鑰
  • 將資料壓縮並傳送至 C2

此外,該攻擊亦可能透過惡意 VS Code extension 在 Windows 環境中執行 PowerShell,並修改 Defender 設定以降低防護能力。研究顯示,此攻擊活動已造成大量受害者(超過 15,000 次曝光),並持續演化其基礎設施與散布方式。

  1. ClickFix 攻擊鏈整合分析

綜合上述兩起事件,可明確觀察 ClickFix 攻擊已發展為一種通用型攻擊框架,其核心特徵如下:

  • 以使用者行為為核心的入侵模式:攻擊者不再透過 exploit,而是透過誘導使用者執行命令完成初始入侵。這使防禦重心由技術漏洞轉向使用者行為。
  • 合法工具與環境濫用:無論是Deno runtime(LeakNet)或Terminal / shell / PowerShell(MacSync),攻擊者均利用合法工具執行惡意程式,使行為難以與正常操作區分。
  • 無檔案化與低可見性攻擊,上述兩類攻擊均具備:

―          記憶體執行

―          最小化磁碟痕跡

―          減少 IOC

―          顯著提升躲避偵測能力。

  1. 攻擊鏈模組化

ClickFix 僅作為入口,其後可接:

  • 勒索軟體(LeakNet)
  • Infostealer(MacSync)

顯示其已成為可重用的攻擊組件。

  1. 整體威脅趨勢

本次分析顯示以下關鍵發展方向:

  • ClickFix 成為主流初始入侵技術:已被多個攻擊團體採用,並持續擴散。
  • 攻擊模式由漏洞導向轉為行為導向:使用者操作成為攻擊鏈關鍵。
  • AI與開發者生態成為新攻擊面:AI工具與開發平台提供高度可信的誘導環境。
  • 無檔案化與BYOR技術普及:合法工具成為攻擊載體。
  • 攻擊目的多元化:同一技術可支援勒索、資料竊取與滲透行動。
  1. 結論

LeakNet 與 Claude Fraud(MacSync)攻擊案例顯示,ClickFix 已從單純社交工程手法演變為一種可模組化運用的攻擊框架。攻擊者透過操控使用者行為、濫用合法工具與執行環境,成功建立高隱蔽性且高成功率的攻擊鏈。

此類攻擊的本質已從「技術突破」轉變為「信任濫用與行為操控」,使傳統資安防護機制面臨重大挑戰。未來防禦策略需強化對使用者操作行為、執行環境與新興技術(如AI工具)的整體風險控管,方能有效應對此類新型態威脅。

 

資料來源:

https://www.bleepingcomputer.com/news/security/leaknet-ransomware-uses-clickfix-and-deno-runtime-for-stealthy-attacks/

https://hackread.com/clickfix-attack-devs-macsync-malware-fake-claude-tools/
近期兩大資安威脅:LeakNet 勒索軟體利用 ClickFix 手法結合 Deno 執行環境進行隱蔽攻擊,以及針對開發者的偽造 Claude AI 工具散布 MacSync 竊資軟體。