揭秘新型ClickFix攻击:利用伪造Windows更新界面与隐写术窃取信息

安全研究人员发现新一轮ClickFix攻击正在传播,其采用两种新策略:高度逼真的伪造Windows全屏更新界面诱导用户执行恶意命令,以及将恶意软件隐写在PNG图像的RGB像素值中,最终投放LummaC2和Rhadamanthys信息窃取程序。

安全总监和Windows管理员应禁用个人计算机自动运行命令的功能,以阻止最新版本的ClickFix社交工程攻击。

这一建议来自Huntress的研究人员,他们本周警告称,一种新版本的基于ClickFix的攻击正在传播,该攻击诱骗员工运行恶意命令。

此轮活动的最新策略包括隐写术(将恶意软件隐藏在图像的像素中)和一个“高度逼真”的伪造Windows更新界面,该界面要求用户打开运行提示符,然后粘贴并运行恶意命令。

该命令最终会投放LummaC2和Rhadamanthys信息窃取程序。

Huntress指出,其报告发布的时间点是在11月13日执法部门针对Rhadamanthys基础设施的“终结行动”打击之后。截至11月19日,多个活跃域名仍在托管与Rhadamanthys活动相关的Windows更新诱饵页面。所有这些诱饵都指向先前与部署Rhadamanthys相关的相同十六进制编码的URL结构,尽管看起来该有效载荷已不再被托管。

报告指出,防御者应采取的第一步是阻止此恶意软件运行的能力。“缓解ClickFix最有效的方法是禁用Windows运行框,”Huntress表示,可以通过修改Windows注册表或部署GPO(组策略对象)规则来阻止与Windows运行框的交互。

之后,报告建议采取应对所有社交工程攻击的标准响应:有效的员工安全意识培训。“确保用户接受关于ClickFix方法论的培训,”报告称,“强调合法的验证码或Windows更新过程永远不会要求粘贴和运行命令。”

ClickFix攻击警告

专家们至少从2024年初就开始警告ClickFix攻击(有时称为粘贴劫持)。它们通常始于网络钓鱼诱饵,将受害者引导到一个看似真实的伪造登录页面,该页面声称是Windows更新页面或政府部门网站。攻击的核心在于向用户提供涉及点击提示、以及在Windows运行对话框、Windows终端或Windows PowerShell中直接复制、粘贴和运行命令的指令。这导致下载启动恶意软件的脚本。

Huntress表示,最新的ClickFix活动中使用了两种新策略:

  1. 伪造的Windows更新界面:自10月初以来,使用全屏显示的伪造蓝色Windows更新启动页面,展示逼真的“正在更新”动画,最终提示用户遵循标准的ClickFix模式:打开运行提示符(Win+R),然后粘贴并运行恶意命令。

    • 员工为什么会这样做?因为该请求据称是证明受害者是人类的测试的一部分。屏幕上会显示“人工验证。请按照3个快速步骤验证您不是机器人。”这类似于验证码请求,如今的员工对此很熟悉。在这种情况下,这三个步骤是:按下Windows键 + R(打开运行框);按下CTRL + V(粘贴一个已自动复制到剪贴板的命令);然后按Enter键“验证”(这实际上会运行触发下载脚本的命令)。

  2. 隐写术:将最终的恶意软件阶段隐藏在图像中。报告合著者Ana Pham在一封电子邮件中解释说,该方法并非直接将恶意数据附加到文件上,而是将有效载荷直接编码到PNG图像的RGB像素值中,依赖特定的颜色通道在内存中重建和解密有效载荷。“这里的实现方式很突出:与基本的文件附加技术相比,这是一种更复杂的方法,旨在规避基于签名的检测。”

Pham表示,Windows更新主题的策略尤其有效,因为它模仿了用户期望看到的东西:一个带有逼真动画的全屏Windows更新启动页面。“鉴于这种诱饵相比标准的‘机器人验证’页面更具说服力,可以合理预期其他威胁行为者会采用类似的方法,”她补充道。“这些诱饵的源代码包含俄语注释,且没有经过重度混淆,这意味着其他组织可以相对容易地分享或复制。”

攻击现已“猖獗”

Pham表示,ClickFix在Huntress的客户中已变得猖獗,并且是今年观察到的最普遍的威胁之一。在过去的六个月里,该公司与ClickFix相关的事件增加了313%。

在从9月下旬到10月的一个月期间,Huntress响应了与此特定活动相关的76起独立事件,攻击目标涵盖多个地区的组织,包括美国、欧洲/中东/非洲和亚太地区。

Pham说,将这些事件联系起来的一个具体指标是:初始有效载荷(最终会投放隐写术加载器)始终包含一个URL,其中第二个八位字节是以十六进制格式编码的。

Palo Alto Networks Unit 42威胁情报部门的研究人员也报告称看到了更多的ClickFix攻击。在7月的一份报告中,他们表示攻击者诱使受害者复制并粘贴命令,以对常见计算机问题(如性能问题、缺少驱动程序或弹出错误)应用快速修复。伪造的技术支持论坛是这些攻击的一种发起方式。在其他活动中,威胁行为者还已知会使用伪造的DocuSign和Okta单点登录页面来欺骗用户。有效载荷包括信息窃取程序、远程访问木马或禁用安全性的工具。

“这种传递方式绕过了许多标准的检测和预防控制,”Palo Alto的报告称。“没有漏洞利用、钓鱼附件或恶意链接。相反,潜在受害者通过受信任的系统外壳,不知不觉地自己运行了命令。这种方法使得ClickFix的感染比路过式下载或传统的恶意软件投放器更难检测。”

安全总监应采取的措施

但安全总监并非没有防御手段。一种方法是通过注册表修改或组策略禁用Windows运行对话框。此外,他们应在调查期间审计RunMRU注册表项(该注册表项保存了从运行窗口执行的最近命令的副本),以检查用户是否通过运行对话框执行了可疑命令。Palo Alto Networks指出,RunMRU内容中可疑的一些关键指标可能是混淆的内容、与从未知或可疑域下载和执行有效载荷相关的关键词,以及指示调用管理界面的关键词。

Pham还表示,领导者应部署端点监控,以检测可疑的进程链,特别是监视explorer.exe生成mshta.exe,或具有异常命令行参数的PowerShell。

Palo Alto Networks也警告说,一些攻击者通过指示启动终端来运行PowerShell(Windows 11)或命令提示符(Windows 10),以避免其活动暴露在RunMRU注册表项中。EDR遥测或Windows事件日志将显示此策略的迹象。

虽然安全意识培训很重要,但它不应该是唯一的防线,Pham说。

“ClickFix之所以成功,是因为它利用了用户的信任和习惯性行为,”她说。“用户本能地信任验证码检查和Windows更新屏幕,将其视为日常工作的一部分。即使是训练有素的用户也可能被一个逼真的全屏Windows更新动画打个措手不及。最有效的缓解方法是用户教育和技术控制相结合:禁用运行对话框、监控可疑进程行为,并保持强大的端点检测。纵深防御在这里很重要,培训降低了有人落入诱饵的可能性,但当他们真的上当是,技术控制提供了一张安全网。”

目前,Huntress没有足够的证据来确定此特定活动是由某个特定的威胁行为者还是多个威胁行为者团体实施的,Pham指出。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次