深入剖析ClickFix社会工程攻击技术

微软安全团队详细分析了ClickFix社会工程攻击技术,该技术通过诱导用户执行恶意命令来绕过传统安全防护。文章深入探讨了攻击链、实现方式、跨平台威胁以及防护措施,为企业安全防护提供实用建议。

ClickFix社会工程攻击技术分析

在过去一年中,微软威胁情报和Microsoft Defender Experts观察到ClickFix社会工程技术日益流行,每天有数千台企业终端设备成为攻击目标。自2024年初以来,我们已协助多个行业的客户应对此类攻击活动,这些攻击试图投放Lumma Stealer等恶意软件,影响Windows和macOS设备并导致信息窃取和数据外泄。

ClickFix攻击链

典型的ClickFix攻击始于威胁行为者使用网络钓鱼邮件、恶意广告或被入侵网站,将毫无戒备的用户引导至视觉诱饵页面,诱骗他们自行执行恶意命令。通过在攻击链中添加用户交互环节,使用ClickFix技术的威胁可能绕过传统自动化安全解决方案。

案例研究:Lampion恶意软件活动

2025年5月首次发现的针对葡萄牙政府、金融和运输部门的攻击活动,展示了典型的ClickFix攻击链。该活动通过包含ZIP文件的钓鱼邮件实施攻击,最终试图投放专注于银行信息的Lampion信息窃取软件。

点击之前:攻击载体

网络钓鱼

威胁行为者主要通过三种途径让用户遭遇ClickFix提示:接收钓鱼邮件、遇到恶意广告或访问被入侵网站。

Storm-1607活动案例:2024年5月发现针对美国和加拿大组织的数万封钓鱼邮件,使用付款和发票诱饵,包含伪装成Word文档的HTML附件。

Storm-0426活动案例:2025年3月发现针对德国用户的钓鱼活动,通过Prometheus流量导向系统将用户重定向至攻击者控制的网站。

恶意广告

2025年4月观察到的活动中,用户在免费电影流媒体网站点击播放按钮时,会被重定向至下载Lumma Stealer的ClickFix登录页面。

路过式下载

威胁行为者Storm-0249自2025年3月起转向通过入侵合法网站(可能利用WordPress漏洞)并使用ClickFix技术投放有效载荷。

点击之内:ClickFix实现方式

攻击者使用多种方法说服目标在其系统上执行用户级命令。早期登录页面模仿Google的"Aw, Snap!“崩溃错误,近期则伪装Google reCAPTCHA和Cloudflare Turnstile解决方案。

冒充Cloudflare Turnstile

攻击页面通过隐藏iframe和JavaScript代码实现虚假验证流程,用户点击验证后恶意命令会自动复制到剪贴板。

冒充社交平台

某些ClickFix登录页面模仿Discord等流行社交平台,通过Verify按钮点击触发恶意命令复制。

“修复"过程:用户级代码执行

ClickFix技术通常指示用户在Windows运行对话框(Win + R)中运行恶意命令。攻击者利用目标用户对该系统组件的不熟悉性实施攻击。

检测Windows运行对话框滥用

运行对话框使用记录保存在RunMRU注册表项中,可通过检查以下可疑元素识别潜在攻击:

  • 使用LOLBins(如powershell、mshta等)
  • 第一阶段有效载荷托管在直接IP地址或非常规域名
  • 包含虚假验证确认文本

超越Windows:针对macOS用户的ClickFix

2025年6月发现针对macOS用户的ClickFix活动,投放Atomic macOS Stealer(AMOS)。攻击页面冒充美国Spectrum公司,虽然显示Windows设备指令,但会根据设备类型复制不同的恶意命令。

点击背后:ClickFix工具包及其他服务

自2024年底以来,微软观察到多个威胁行为者在黑客论坛出售ClickFix构建器。这些工具包提供可配置选项,包括诱饵模板、有效载荷执行时机、虚拟机检测规避等,月租费用在200-1500美元之间。

ClickFix防护与检测

Microsoft Defender XDR通过多层技术提供全面防护:

  • Microsoft Defender SmartScreen对ClickFix登录页面显示警告
  • Microsoft Defender for Endpoint检测可疑进程执行和命令行活动
  • AMSI提供脚本环境扫描能力
  • 网络保护功能可阻止C2域名通信

建议措施

  1. 用户教育识别社会工程攻击
  2. 配置Microsoft 365邮件过滤设置
  3. 使用企业托管浏览器
  4. 启用网络保护和Web保护
  5. 部署攻击面缩减规则
  6. 通过组策略禁用不必要的系统功能

检测详情

Microsoft Defender Antivirus检测

  • Behavior:Win32/ClickFix
  • Trojan:Win32/ClickFix
  • Behavior:Win32/RegRunMRU等

Microsoft Defender for Endpoint警报

  • RunMRU注册表中的可疑命令
  • 使用LOLBins运行恶意代码
  • 可疑PowerShell命令行等

威胁指标(IOC)

包含涉及的恶意域名、IP地址和文件哈希值,如:

  • mein-lonos-cloude[.]de(MintsLoader活动)
  • access-ssa-gov[.]es(SSA钓鱼活动)
  • panel-spectrum[.]net(AMOS活动)等

通过综合防护策略和持续威胁监测,组织可有效降低ClickFix社会工程攻击的影响。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次