FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

ClickFix攻击激增517%

根据ESET最新数据，利用虚假验证码（CAPTCHA）作为初始入侵载体的ClickFix社会工程学攻击手法，在2024年下半年至今年上半年期间激增517%。ESET威胁预防实验室主管Jiří Kropáč表示："ClickFix攻击导致的威胁清单日益增长，包括信息窃取软件、勒索软件、远程访问木马、加密货币挖矿程序、漏洞利用后工具，甚至国家背景黑客组织定制的恶意软件。"

这种广泛流行的欺骗性攻击手法通过伪造错误信息或验证码检查，诱骗受害者将恶意脚本复制粘贴至Windows运行对话框或macOS终端应用并执行。据这家斯洛伐克网络安全公司监测，日本、秘鲁、波兰、西班牙和斯洛伐克是ClickFix攻击检测量最高的地区。由于该手法的普遍性和有效性，已有攻击者开始出售能够生成ClickFix武器化登录页面的构建工具。

从ClickFix到FileFix

安全研究员mrd0x近日展示了名为FileFix的概念验证（PoC）攻击手法。与ClickFix类似但实现方式不同，FileFix通过诱骗用户将文件路径复制粘贴至Windows文件资源管理器地址栏实施攻击。攻击者会制作钓鱼页面，谎称已共享文档，要求受害者按CTRL+L复制粘贴文件路径。页面中的"打开文件资源管理器"按钮会触发系统执行操作，同时将恶意PowerShell命令复制到剪贴板。当受害者粘贴"文件路径"时，实际执行的是攻击者预设的命令。

技术实现上，攻击者通过在复制的文件路径前添加PowerShell命令，利用空格隐藏命令内容，并用井号("#")将伪造的文件路径标记为注释。研究员解释："我们的PowerShell命令会在注释后拼接虚拟文件路径，以此隐藏命令并显示文件路径。"

钓鱼攻击浪潮涌现

ClickFix攻击激增的同时，多种新型钓鱼攻击也被发现：

• 滥用.gov域名发送伪装成未付通行费的钓鱼邮件，诱导用户进入收集个人财务信息的虚假页面
• 使用长期域名（LLD）实施"战略域名老化"攻击，通过定制验证码检查页面将用户导向伪造的Microsoft Teams页面窃取凭证
• 在ZIP压缩包中分发恶意Windows快捷方式（LNK）文件，触发PowerShell代码部署Remcos远程访问木马
• 谎称用户邮箱将满，诱导点击"清理存储"按钮跳转至IPFS托管的钓鱼页面窃取邮箱凭证，邮件附件中的RAR压缩包内含XWorm恶意软件
• 通过PDF文档中的嵌套URL分发含AutoIT版Lumma窃密程序的ZIP压缩包
• 劫持合法前端平台Vercel托管传播恶意版LogMeIn以完全控制受害者设备
• 冒充美国各州车管局（DMV）发送未付通行费短信，诱导用户进入信息收集页面
• 利用SharePoint主题邮件将用户重定向至托管在"*.sharepoint[.]com"域名的凭证窃取页面

网络安全公司CyberProof指出："包含SharePoint链接的邮件较少被终端检测响应（EDR）或杀毒软件标记为恶意。由于钓鱼页面托管在SharePoint上，通常具有动态特性且仅限特定链接短期访问，使得自动化爬虫、扫描器和沙箱更难检测。"

参考来源：

New FileFix Method Emerges as a Threat Following 517% Rise in ClickFix Attacks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）