關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.12.18
事件與威脅/資訊安全
新型 ClickFix 攻擊利用偽造的瀏覽器修復程式安裝 DarkGate 惡意軟體
威脅情勢概述與攻擊機制定義

在現今複雜的網路威脅生態中,攻擊者正逐漸從純技術性的漏洞利用,轉向更具隱蔽性的心理戰。Point Wild旗下Lat61威脅情報團隊的網路安全研究人員發現了一種惡意軟體攻擊活動,該活動利用了一種名為ClickFix的社會工程學技巧。這種方法誘騙使用者手動執行有害命令,在本例中,這些命令會導致安裝DarkGate遠端存取惡意軟體

ClickFix 技術的核心在於「繞過自動化偵測」,透過將使用者轉化為攻擊鏈中的「執行者」,使得傳統的終端防護軟體(EDR)難以即時攔截。這種手法不再依賴自動下載的執行檔,而是利用現代瀏覽器的 API 功能與作業系統內建的系統工具進行深度整合。

 

ClickFix 攻擊流程與技術拆解

問題始於用戶看到一條虛假訊息,聲稱缺少「Word Online」副檔名,網站會提示您點擊「如何修復」按鈕來查看文件我們都知道,匆忙之中很容易上當。然而,這個按鈕並不能修復任何問題;相反,它會使用 JavaScript 偷偷地將一條PowerShell命令複製到您的剪貼簿。

這一步驟利用了瀏覽器的剪貼簿寫入權限,對使用者而言,這只是單純的點擊動作,但在背景中,一段經過編碼(Obfuscated)的惡意指令已經儲存在系統記憶體中。隨後的引導步驟則是此攻擊最危險的部分:

攻擊者隨後會引導使用者完成一系列步驟以最終感染,他們會要求使用者按下快捷鍵Windows+R來開啟「執行」對話框,然後CTRL+V貼上複製的文字。由於此過程是由使用者主動發起的,因此電腦的安全機制可能不會將其標記為威脅。

 

DarkGate 惡意軟體之特性與危害

DarkGate 是一種功能極為強大的遠端存取木馬(RAT),其開發歷史悠久,並具備高度的模組化特徵。一旦透過上述 PowerShell 腳本成功植入,它便能執行包括按鍵記錄、憑證竊取、遠端桌面控制以及勒索軟體分發等多重惡意任務。

Point Wild 的威脅分析師 Onkar Sonawane指出,該序列「旨在提示執行先前複製到剪貼簿的PowerShell 腳本,而用戶卻意識不到其惡意意圖」,受感染的系統可能會出現卡頓、崩潰或顯示未經授權的工具列等問題,您可能還會注意到大量彈出式廣告。這不僅影響個人使用體驗,更可能成為企業內部網路滲透的起點。

 

受害者角色轉變:從防禦者變為安裝程序

正如Point Wild 的首席技術官兼 Lat61 威脅情報團隊負責人 Zulfikar Ramzan 博士解釋的那樣,「ClickFix 將受害者變成了安裝程序。只需點擊一次‘如何修復’,剪貼板就會被植入病毒,幾秒鐘之內,DarkGate 就會偽裝成有用的修復程序運行起來。」

這種技術轉向揭示了網路犯罪的一個重要趨勢:信任鏈的劫持。當命令是由使用者「親手」貼上並執行時,作業系統通常會賦予該程序較高的權限,且行為基準(Behavioral Baseline)會將其判定為受信任的操作。這使得 ClickFix 成為滲透關鍵基礎設施或企業高價值資產的高效手段。

 

心理與技術層面的防禦缺口分析

ClickFix 攻擊之所以成功,主要源於兩大缺口:

  • 心理缺口:利用「修復」或「更新」的急迫感。當使用者急於開啟重要的辦公室文件(如 Word Online)時,批判性思考能力會大幅下降。

  • 技術監控缺口:許多企業的資安規範禁止下載不明來源的 .exe 檔,但對於使用 Windows+R 執行內建命令的教育訓練相對匱乏。

 

企業防範建議與主動防禦對策

面對此類高度依賴社會工程學的威脅,單純的技術更新已不足夠,必須採取多維度的防禦模型:

  • 強化使用者意識培訓:因此,為了安全起見,切勿複製貼上網站提供的程式碼來「修復」瀏覽器問題。應教育員工,任何合法的雲端服務(如 Microsoft 365 或 Google Workspace)絕不會要求使用者透過命令提示字元或 PowerShell 進行「修復」。

  • 終端行為分析強化:配置 EDR 工具監測 explorer.exe 啟動 powershell.exe 且參數中包含 base64 編碼或網路請求的異常行為。

  • 限制特權指令執行:在不影響工作的前提下,針對非技術部門實施 AppLocker 或 Windows Defender Application Control (WDAC),限制 PowerShell 執行特定的網路外部連結。

  • 剪貼簿監控與保護:考慮使用具備剪貼簿防護功能的安全瀏覽器外掛,當偵測到不明來源的大段代碼被寫入剪貼簿時,向使用者發出預警。

 

建立數位免疫力

ClickFix 攻擊活動再次提醒我們,網路安全中最脆弱的環節往往是「人」。DarkGate 透過如此簡陋卻有效的社交工程手段進行傳播,顯示了駭客組織正在回歸基礎,利用人們對作業系統基礎操作的盲目信任。

作為台灣應用軟件領域的專業觀察者,我們建議企業不僅要升級資安設備,更需建立一套「數位免疫機制」,讓每位員工都能識別這些看似合理的「修復陷阱」,從根本上阻斷惡意軟體的感染路徑。


資料來源:https://hackread.com/clickfix-attack-fake-browser-install-darkgate-malware/
 
深入探討新型 ClickFix 攻擊手法,分析駭客如何利用偽造的「Word Online」修復提示,誘騙使用者手動執行 PowerShell 命令以植入 DarkGate 惡意軟體。