FileFix：新型ClickFix变种

恶意行为者已开始利用ClickFix技术的新变种——研究人员称之为“FileFix”。本文将解释其工作原理及企业防护措施。

攻击原理剖析

FileFix攻击与ClickFix核心原理相同：使用社会工程学手段诱骗受害者在自己的设备上无意间执行恶意代码。区别在于命令执行位置：

• ClickFix：诱使受害者打开Windows运行对话框并粘贴恶意命令
• FileFix：操纵受害者将命令粘贴到Windows文件资源管理器地址栏

从用户视角看，文件资源管理器是熟悉界面，使用其地址栏不会引起警觉，因此不熟悉此手段的用户更容易上当。

攻击执行流程

1. 诱导访问：用户通过钓鱼邮件被引导至仿冒合法服务的网站
2. 虚假报错：假网站显示错误信息阻止正常功能访问
3. 环境检查：告知用户需执行“环境检查”或“诊断”流程
4. 文件路径欺骗：用户被指示复制“本地文件路径”并粘贴到文件资源管理器地址栏

实际陷阱在于：

• 可见文件路径仅是长命令的最后几十个字符
• 文件路径前包含大量空格和实际恶意负载
• 因地址栏可视区域有限，用户只能看到无害的文件路径
• 真实内容仅在粘贴到文本文件时才会暴露

根据Expel研究案例，实际命令通过conhost.exe启动PowerShell脚本。

恶意脚本执行后果

合法用户执行的PowerShell脚本可通过多种方式造成破坏，具体影响取决于：

• 企业安全策略
• 用户权限级别
• 设备安全解决方案

在已知案例中，攻击采用“缓存走私”技术：

• 实施FileFix的假网站将JPEG格式文件存入浏览器缓存
• 该文件实际包含恶意软件压缩包
• 恶意脚本提取并执行恶意软件

这种方法无需明显文件下载或可疑网络请求即可投递最终恶意负载，隐蔽性极强。

企业防护建议

1. 安全解决方案：

   • 在所有员工设备部署可靠安全方案
   • 及时检测和阻止危险代码执行

2. 员工意识培训：

   • 定期提升对现代网络威胁的认知
   • 重点培训ClickFix和FileFix使用的社会工程学方法
   • 可使用卡巴斯基自动化安全认知平台简化培训流程

注意：单纯禁用[CTRL]+[L]快捷键效果有限，因为用户仍可通过鼠标点击地址栏，且该快捷键在其他合法场景中经常使用。