新型ClickFix攻击使用虚假Windows更新屏幕诱骗员工
攻击概述
Huntress安全研究人员警告称,新型ClickFix社交工程攻击正在传播,该攻击通过诱骗员工运行恶意命令来实施。最新攻击手法包括:
- 隐写术:将恶意软件隐藏在PNG图像的RGB像素值中
- 高仿真虚假Windows更新界面:要求用户打开运行提示符,粘贴并运行恶意命令
攻击链分析
该恶意命令会投放LummaC2和Rhadamanthys信息窃取程序。尽管执法机构在11月13日针对Rhadamanthys基础设施进行了打击,但截至11月19日,多个活跃域名仍在托管与Rhadamanthys活动相关的Windows更新诱饵页面。
防御建议
技术控制措施
- 禁用Windows运行框:通过修改Windows注册表或部署GPO规则来阻止与Windows运行框的交互
- 端点监控:监控可疑进程链,特别是explorer.exe生成mshta.exe或具有异常命令行参数的PowerShell
- 注册表审计:在调查期间审计RunMRU注册表项,检查用户是否通过运行对话框执行了可疑命令
员工培训
- 培训用户识别ClickFix方法,强调合法的CAPTCHA或Windows更新过程永远不会要求粘贴和运行命令
- 提醒员工注意全屏Windows更新动画等高度逼真的诱饵
攻击技术细节
新型战术
-
虚假Windows更新页面:
- 自10月初开始使用全屏虚假蓝色Windows更新启动页面
- 显示逼真的"正在更新"动画,最终提示用户遵循标准ClickFix模式
- 以"人工验证"为名,要求用户完成三个步骤来"证明不是机器人"
-
高级隐写术:
- 将最终恶意软件阶段隐藏在图像中
- 恶意代码直接编码到PNG图像的像素数据中,依赖特定颜色通道在内存中重建和解密有效负载
- 相比基本的文件附加技术,这种方法更复杂,旨在逃避基于签名的检测
攻击影响范围
- 在过去六个月内,ClickFix相关事件增加了313%
- Huntress在9月下旬至10月的一个月内响应了76起独立事件
- 攻击目标包括美国、欧洲/中东/非洲和亚太地区的组织
行业观察
Palo Alto Networks Unit 42威胁情报部门的研究人员也报告发现了更多ClickFix攻击。7月份的报告指出:
- 攻击者诱使受害者复制和粘贴命令来"快速修复"常见计算机问题
- 这种交付方法绕过了许多标准检测和预防控制措施
- 没有漏洞利用、网络钓鱼附件或恶意链接,潜在受害者通过受信任的系统外壳自己运行命令
深度防御策略
虽然安全意识培训很重要,但不应该是唯一的防线。最有效的方法结合了用户教育和技术控制:禁用运行对话框、监控可疑进程行为以及维护强大的端点检测。分层防御在这里很重要,培训降低了有人上当受骗的可能性,而技术控制在他们上当受骗时提供了安全网。