ClickFix 攻擊的社交工程陷阱與演變

已觀察到 ClickFix (註)攻擊變種，攻擊者利用逼真的 Windows 更新動畫在全螢幕瀏覽器頁面中欺騙用戶，並將惡意程式碼隱藏在圖像中。 自 10 月 1 日以來，研究人員觀察到 ClickFix 攻擊，其執行危險命令的藉口是完成關鍵 Windows 安全性更新的安裝，以及更常見的「人工驗證」誘餌。虛假更新頁面指示受害者按特定順序按下特定按鍵，從而貼上並執行攻擊者透過網站執行的 JavaScript 自動複製到剪貼簿的命令。

註：
ClickFix 是一種社會工程攻擊，攻擊者誘騙使用者在 Windows 命令提示字元中貼上並執行程式碼或命令，從而在系統上執行惡意軟體。

這種攻擊的設計極具欺騙性，它利用了用戶對作業系統更新的信任和對「安全驗證」步驟的慣性。受害者在不知情的狀況下，將網頁預先載入的惡意指令貼入 Windows 的運行框（Run Box）中並執行，實質上是以用戶權限執行了惡意軟體下載和安裝流程。利用 Windows 更新誘餌的 Rhadamanthys 變種病毒最早於 10 月被研究人員發現，之後「終局行動」於 11 月 13 日摧毀了其部分基礎設施，顯示資安社群正積極應對此類威脅。

 

高階規避技術：惡意軟體隱寫術的運用

ClickFix 攻擊鏈中另一個值得關注的環節，是其利用隱寫術來傳遞最終的惡意軟體有效載荷。隱寫術是一種將秘密訊息隱藏在非秘密資訊中的技術。

攻擊者使用了隱寫術將最終的惡意軟體有效載荷編碼到影像中。Huntress 的研究人員解釋說： “惡意程式碼不是簡單地將惡意資料附加到檔案中，而是直接編碼在 PNG 影像的像素資料中，依靠特定的顏色通道在記憶體中重建和解密有效載荷。”

這種方法有助於惡意軟體規避傳統的安全偵測。由於惡意酬載在傳輸過程中偽裝成無害的圖像文件，且解密和執行過程完全在記憶體中完成，因此可繞過文件掃描和許多基於檔案的偵測機制，使其具有無檔案惡意軟體（Fileless Malware）的特性。這代表攻擊者正不斷地在利用高階規避技術，以確保他們的憑證竊取軟體（如 Rhadamanthys）能夠成功部署在目標系統上。

 

針對性防禦策略與事後應變建議

為了避免遭受此類 ClickFix 攻擊，研究人員建議停用 Windows 運行框，並監控可疑的進程鏈，例如explorer.exe產生mshta.exe或 PowerShell。此外，在調查網路安全事件時，分析人員可以檢查 RunMRU 註冊表項，以查看使用者是否在 Windows 運行框中輸入了命令。

對於企業和個人用戶而言，最直接的防禦措施是提升對社交工程的認知，尤其對任何要求執行特定鍵盤操作或貼上命令的彈出視窗保持高度警惕。在技術層面上，實施嚴格的端點偵測和響應（EDR）策略至關重要，該策略應著重於分析可疑的行程創建鏈和記憶體中的活動，而非僅依賴文件簽名。同時，定期備份和更新系統，結合多因素驗證（MFA）來保護關鍵憑證，能最大程度地降低此類複雜攻擊帶來的衝擊。

資料來源：https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/