關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2025.10.21
事件與威脅/資訊安全
分析 ClickFix:複製/貼上攻擊導致安全漏洞的 3 個原因
快速成長的惡意互動與安全漏洞

ClickFix、FileFix、假 CAPTCHA —不管你怎麼稱呼它,使用者與 Web 瀏覽器中的惡意腳本互動的攻擊都是快速成長的安全漏洞來源。 ClickFix 攻擊會提示使用者解決瀏覽器中的某種問題或挑戰-最常見的是 CAPTCHA,但也包括修復網頁上的錯誤等。不過,這個名字有點誤導——攻擊的關鍵因素是他們透過從頁面剪貼簿複製惡意程式碼,並在本地運行來誘騙用戶在其設備上運行惡意命令
為什麼這些攻擊被證明如此有效?
原因 1:使用者尚未準備好使用 ClickFix
原因 2:ClickFix 在交付過程中未被偵測到
原因 3:EDR 是最後一道也是唯一的防線,並非萬無一失
目前的攻擊路徑跨越瀏覽器和終端——如果它可以完全在瀏覽器中進行並完全規避 EDR,未來 ClickFix 式攻擊可能會如何演變?例如,將惡意 JavaScript 直接貼到相關網頁的開發者工具中。Push Security 的最新功能「惡意複製貼上偵測」透過基於瀏覽器的偵測和攔截,能夠儘早發現 ClickFix 式攻擊。

 

攻擊手法核心解構:剪貼簿劫持與本地執行

ClickFix 攻擊的本質是一種混合型戰術,它結合了網頁瀏覽器的前端欺騙與終端系統的後端執行。攻擊者並不依賴傳統的惡意附件下載或惡意連結點擊,而是利用 JavaScript 在後臺悄無聲息地將惡意命令寫入瀏覽器剪貼簿中。常見的誘餌包括偽造的驗證碼(CAPTCHA)挑戰或假網頁錯誤修復指南。當使用者被誘騙,依照指示開啟 Windows 執行對話框(Run Dialog)或命令提示字元並進行「貼上/運行」時,實際上執行了攻擊者植入的惡意程式碼,如 PowerShell 或 mshta 等合法系統工具(LOLBINS)。此手法已廣泛被 Interlock 勒索軟體集團和國家級 APT 組織等高調威脅行為者所採用,並與近期多起公開資料外洩事件相關聯。

 

攻擊有效性的三大技術與認知失衡

ClickFix 攻擊之所以成功,主要歸因於三個層面的漏洞:

  1. 使用者意識的防護缺口 過去十多年的資安教育主要集中在電子郵件釣魚連結、可疑檔案下載或網站憑證輸入等方面。然而,使用者對「在電腦上開啟程式並運行一個命令」這種互動模式缺乏警惕性。加上惡意複製動作高達 99% 是透過後臺 JavaScript 自動完成,且現代 ClickFix 網站和誘餌頁面越來越逼真,甚至包含教學影片,使得用戶的懷疑心大大降低。由於交付載體轉向 Google 搜尋的 SEO 中毒和惡意廣告,完全跳脫了電子郵件的偵測模型。
  2. 交付管道的技術規避能力 ClickFix 攻擊頁面使用了一系列技術來迴避安全控制。攻擊者透過不斷輪換、偽裝網域來逃避黑名單檢測,並利用僵屍網路防護(Bot Protection)技術阻止安全爬蟲和網路代理的分析。內容的高度混淆也阻止了基於簽章的偵測。透過非電子郵件的投遞管道(特別是惡意廣告),攻擊者可以針對特定地理位置、電子郵件網域或設備類型進行高度精準的目標鎖定,且能夠利用條件式載入技術,確保只有符合特定條件的受害者才會看到惡意誘餌,進一步規避安全分析。由於惡意代碼的複製操作在瀏覽器沙盒內發生,邊界安全工具無法觀察和標記此行為。
  3. 終端偵測(EDR)的上下文隔離困境 終端偵測與回應(EDR)成為阻止 ClickFix 攻擊的最後,且往往是唯一的一道防線,但它並非萬無一失。因為沒有檔案下載,且程式碼運行是由「使用者」發起,EDR 難以建立行為與初始惡意來源之間的上下文連結。例如,從 Chrome 或 Outlook 執行的惡意 PowerShell 容易被標記,但由使用者啟動的動作則被隔離。攻擊命令本身可能被分階段或混淆,以規避啟發式規則。此外,如果企業允許使用非託管的 BYOD 設備,EDR 覆蓋範圍將出現巨大缺口。組織過度依賴單一防線,一旦 EDR 偵測失敗,攻擊便會全面得逞。

 

未來的攻擊演變與前線防禦策略

現行的 ClickFix 攻擊路徑橫跨瀏覽器與終端,但攻擊趨勢正朝向更隱蔽的方向發展。未來,攻擊者可能尋求完全在瀏覽器內部完成攻擊,徹底規避 EDR,例如,直接指示使用者將惡意 JavaScript 貼入相關網頁的開發者工具(DevTools)中,從而劫持瀏覽器中儲存的憑證和 Cookie,繞過終端防護。

因此,僅僅依賴限制如 Windows Run 對話框等傳統建議已不足夠,因為攻擊者已在探索更多難以阻止使用者存取的 LOLBINS。有效的防禦必須前移至攻擊的最前線:瀏覽器本身。Push Security 的「惡意複製貼上偵測」等基於瀏覽器的安全解決方案,能夠在惡意程式碼被複製和貼上之前,即時進行偵測與攔截。這種控制措施的優勢在於其普遍有效性,它獨立於誘餌的投遞管道、頁面結構或惡意軟體的最終執行細節,能在不中斷用戶生產力的前提下,堵住 ClickFix 攻擊的關鍵漏洞。


資料來源:https://thehackernews.com/2025/10/analysing-clickfix-3-reasons-why.html
 
分析 ClickFix 式「惡意複製貼上」攻擊的運作原理與高成功率的三大原因:使用者防備不足、交付階段偵測失敗,以及終端防護(EDR)的局限性。