Neue ClickFix-Kampagne nutzt Fake-Windows-Updates

新闻分析 2025年11月26日，4分钟阅读时长

安全研究人员警告称，一种新的ClickFix攻击正通过伪造的Windows更新页面进行传播。

根据安全提供商Huntress研究人员的报告，攻击者将恶意软件隐藏在伪装成Windows更新页面的图片像素中。用户会被提示点击“运行”，以粘贴并执行一条恶意命令。

该命令会部署Infostealer窃密程序LummaC2和Rhadamanthys。Huntress指出，其报告在11月13日公布针对Rhadamanthys的调查成功后发布。截至11月19日，仍有多个活跃域名托管着与Rhadamanthys活动相关的虚假Windows更新页面。“所有虚假页面都指向之前与Rhadamanthys攻击相关的相同编码URL结构，”研究人员称，但其有效载荷显然已不再被托管。

ClickFix攻击并非新事物

专家此前已警告过ClickFix攻击（有时也称为“粘贴劫持”）。此类攻击通常始于一个网络钓鱼诱饵，将受害者引诱至一个外观逼真的伪造着陆页，该页面假扮成Windows更新页面或政府机构网站。攻击的核心在于引导用户按照指示操作，包括点击提示框以及在Windows“运行”对话框、Windows终端或Windows PowerShell中直接复制、粘贴和执行命令。这会导致下载并执行用于启动恶意软件的脚本。

Huntress的Ana Pham向CSO强调，隐写术对恶意软件操作而言并非新事物。“特别之处在于其实施方式：这种攻击活动并非简单地将恶意数据附加到图像文件中，而是将有效载荷直接加密到PNG图像的RGB像素值中，通过读取特定颜色通道提取Shellcode，并应用XOR解密。”

她表示，这比旨在绕过基于签名的检测的简单文件附加技术更为复杂。“使用Windows更新主题的策略之所以特别有效，是因为它模仿了用户预期看到的东西：一个带有逼真动画的全屏Windows更新页面。这些诱饵的源代码包含俄语注释，并且没有经过高度混淆，因此相对容易被其他团体分享或复制。”

NCC Group的研究人员近期发布了另一份关于他们在2025年5月发现的ClickFix攻击的报告。具体而言，该报告涉及一种路过式下载攻击，攻击者利用伪造的CAPTCHA弹出窗口，旨在安装Lumma C2窃密程序。

防护建议

Huntress专家Pham表示，防御Clickfix攻击的第一步是阻止恶意软件的执行。“防御ClickFix最有效的方法是禁用Windows运行框，”Huntress称，“可以通过修改Windows注册表或使用GPO规则来阻止与Windows运行框的交互。”

此外，还建议采用应对所有社会工程学攻击的标准措施：对员工进行有效的安全意识培训。“确保用户了解ClickFix的方法论，”报告中强调。“向他们明确，合法的CAPTCHA或Windows更新流程绝不会要求粘贴和执行命令。”

此外，CISO应检查RunMRU注册表项（该注册表项保存了运行窗口中最近执行命令的副本），以确定用户是否通过运行对话框执行过可疑命令。

Pham还建议采用端点监控来追踪可疑的进程链——特别是关注explorer.exe启动mshta.exe或PowerShell并附带异常命令行参数的情况。

“安全意识培训固然重要，但不应该成为唯一的防线，”Pham总结道。