ClickFix自适应社会工程攻击技术深度解析

本文详细分析了2025年流行的ClickFix社会工程技术,该技术通过伪造验证码和错误信息诱使用户执行恶意脚本,实现数据窃取和恶意软件分发,并提供了基于CIS安全控制的具体防御建议。

ClickFix: 一种自适应社会工程技术

作者: 互联网安全中心(CIS®)网络威胁情报(CTI)团队
发布日期: 2025年10月27日

概述

ClickFix是一种在2025年变得普遍的社会工程技术,因其能够针对多个操作系统实现各种攻击目标而备受关注,包括数据/财务盗窃和恶意软件分发。该技术利用用户对完成验证码和其他验证提示的熟悉度,通过诱骗用户自行运行恶意shell脚本来下载恶意软件和其他恶意工具,从而绕过防御措施。

在2025年1月至2025年10月期间,互联网安全中心(CIS®)网络威胁情报(CTI)团队追踪到两次导致勒索软件分发的攻击活动,其中包括8月份影响美国州、地方、部落和领土(SLTT)受害者的Interlock勒索软件事件。

MS-ISAC ClickFix分析

CIS CTI团队在开源报告和MS-ISAC成员相关活动中观察到了ClickFix行为,包括来自成员通知和通过CIS监控服务。例如,该技术在2025年上半年占据了所有非恶意软件Albert网络监控和管理警报的三分之一以上。ClickFix相关事件的增加可能归因于其有效的社会工程诱饵和防御规避,这依赖于用户在不需要下载文件的情况下运行网络威胁参与者(CTA)的恶意脚本。

ClickFix攻击通常始于CTAs利用对合法网站的未经授权访问来注入JavaScript,强制页面生成验证码验证或Cloudflare Turnstile。这进而触发用户交互并阻止自动分析,随后显示一个欺诈性错误消息,指示需要采取操作来解决错误。图1展示了CIS CTI团队在2025年初调查中发现的一个错误消息示例。该消息指示用户复制包含隐藏、混淆的PowerShell脚本的数据(如图2所示),并将其粘贴到Windows运行实用程序中进行执行。此示例中的脚本从CTA控制的基础设施下载额外的有效负载。

图1: ClickFix欺诈性错误消息

图2: 从图1点击"复制"时复制到剪贴板的PowerShell脚本

美国SLTT受害者已向MS-ISAC报告了指向滥用可信服务(如mkt.dynamics[.]com、r2[.]dev或trycloudflare[.]com的子域)的钓鱼邮件链接,这些链接随后将流量重定向到被入侵的网站。这些链接还通过广告将受害者引导至被入侵的网站,无论是通过其他被入侵的网站还是通过搜索引擎优化(SEO)投毒。

CTAs在ClickFix攻击中融入了各种恶意软件。CIS CTI团队追踪了涉及即时下载信息窃取器(如Lumma Stealer)和远程监控和管理(RMM)软件(如NetSupport)的攻击活动。NetSupport是一种合法的RMM工具,为IT团队提供对计算机的远程访问以进行故障排除,但CTAs滥用此工具进行恶意访问。图3展示了2025年初调查中发现的一个NetSupport远程访问木马(RAT)示例。这个包含在名为"update.zip"的ZIP存档中的木马化版本包括一个配置文件,该文件通过网络通信通过CTA基础设施进行定向。

图3: 包含在update.zip中的NetSupport RAT以及包含CTA IP的client32配置文件内容

CIS CTI团队还观察到涉及包含SocGholish JavaScript有效负载和其他恶意软件的虚假Web浏览器更新的ClickFix攻击活动。SocGholish,也称为"FakeUpdates",是一个多功能的恶意软件家族,CTAs使用它来获取对受害者系统的初始访问权限,窃取私人和敏感信息,并投放额外的恶意软件有效负载,如勒索软件。

CTAs采用ClickFix技术来私下针对个体受害者,并机会性地针对企业环境。网络安全媒体Sekoia报告称,截至2025年2月,朝鲜CTAs扩大了之前针对加密货币公司求职者的活动,推出了新的"ClickFake Interview"攻击活动,在其中向申请人提供包含ClickFix的技能评估。该活动旨在分发恶意软件以及窃取私人和敏感信息,最终目标是窃取资金以资助朝鲜民主主义人民共和国(DPRK)的地缘政治野心。

同时,CTAs扩展了ClickFix技术以利用额外的本机系统实用程序。这些示例包括FileFix、TerminalFix和DownloadFix。在每种技术中,CTAs说服用户运行恶意shell脚本,但使用不同的本机实用程序。例如,FileFix利用在Windows资源管理器或macOS中的Finder中运行脚本,而TerminalFix说服用户手动打开本机shell应用程序来运行脚本,即在Windows中的PowerShell或cmd.exe,以及在macOS和Linux系统中的bash。

防御ClickFix的建议

多州信息共享和分析中心(MS-ISAC®) 建议采取以下措施来改进针对使用ClickFix技术的恶意软件的网络防御:

限制标准用户的PowerShell执行:

  • 将执行策略设置为’AllSigned’或’Restricted’,确保只有签名的脚本可以运行,阻止用户下载或篡改的脚本(CIS控制2.3、5.3和7.7)
  • 使用软件限制策略或AppLocker防止PowerShell为非管理用户启动(CIS控制4.8和7.7)
  • 强制执行用户帐户控制(UAC)凭据提示,这将需要完整的管理员凭据才能启动PowerShell(CIS控制4.3和4.6)

使用Windows Defender应用程序控制(WDAC)控制PowerShell启动上下文:

  • 部署带有代码完整性策略的WDAC,允许管理员定义可信路径,并在从可疑父进程启动时阻止PowerShell(CIS控制2.3和7.7)

利用CIS托管检测和响应(CIS MDR™)通过在端点(即主机、服务器)阻止未经授权的活动来帮助缓解恶意文件执行。

部署恶意域名阻止和报告(MDBR),这是一项MS-ISAC成员服务,主动阻止组织的DNS流量连接到已知有害的Web域。CIS CTI团队持续分析并将妥协指标(IOCs)上传到MDBR,以防止与使用ClickFix技术的恶意软件相关的恶意活动。

使用网络入侵检测系统(NIDS),如Albert网络监控和管理。可供美国SLTT政府使用,Albert利用高性能IDS引擎,并提供传统和高级网络威胁安全警报,用于识别和报告恶意事件。

创建应用程序允许列表,使组织能够主动管理(清点、跟踪和纠正)网络上的所有软件,以便只允许授权软件安装或执行(CIS控制2)。

定期执行系统防病毒扫描,并确保这些应用程序保持最新(CIS控制10)。

只允许运行受信任的数字签名PowerShell脚本(CIS控制2)。

确保建立足够的日志记录,特别是PowerShell的日志记录,如转录、模块和脚本块日志记录(CIS控制8)。

提供员工培训以防范社会工程(CIS控制14)。

通过社区加强您的ClickFix防御

为了增强您对ClickFix的防御,请作为付费成员加入MS-ISAC。MS-ISAC成员在ClickFix出现时收到了早期报告,包括在季度威胁报告和月度成员通话中。此外,MS-ISAC成员定期收到为美国SLTT网络防御操作员和决策者量身定制的更详细报告,包括与ClickFix相关的具体事件响应发现和IOCs。此信息旨在提供可操作的威胁情报,直接支持主动防御和明智决策。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次