官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
新型攻击活动伪装Windows更新页面
安全厂商Huntress的研究人员近期发现针对企业员工的新型ClickFix攻击活动。攻击者将恶意软件隐藏在伪造Windows更新页面的图片像素中,诱导用户点击"运行"按钮执行恶意命令。
该命令会投放LummaC2和Rhadamanthys信息窃取木马。Huntress指出,其报告发布于11月13日Rhadamanthys调查行动公开之后。截至11月19日,仍有多个活跃域名托管着与Rhadamanthys活动相关的伪造Windows更新页面。研究人员表示:"所有伪造页面都指向相同的编码URL结构,这些结构此前与Rhadamanthys攻击活动相关联。"但有效载荷似乎已停止托管。
ClickFix攻击手法分析
专家此前就警告过ClickFix攻击(有时称为"粘贴劫持")。这类攻击通常始于钓鱼诱饵,将受害者引导至看似真实的伪造页面,冒充Windows更新或政府机构网站。攻击核心是诱导用户按照指令操作,包括在Windows"运行"对话框、终端或PowerShell中点击提示、复制粘贴并执行命令,最终下载执行恶意脚本。
Huntress研究员Ana Pham向CSO强调,隐写术在恶意软件操作中并不新鲜。"特别之处在于实现方式:该活动不是简单将恶意数据附加到图像文件,而是将有效载荷直接加密到PNG图像的RGB像素值中,通过读取特定颜色通道提取Shellcode,并应用XOR解密。"这种技术比简单的文件附加更复杂,旨在规避基于签名的检测。
同时她补充:"采用Windows更新主题的战术特别有效,因为它模仿了用户预期的场景:带有逼真动画的全屏Windows更新页面。这些诱饵的源代码包含俄语注释且未做深度混淆,容易被其他组织共享或复制。"
NCC Group研究人员近期也发布报告,披露2025年5月发现的另一起ClickFix攻击,涉及路过式下载攻击和伪造CAPTCHA弹窗,目的是安装Lumma C2窃密木马。
企业防护建议
Huntress专家Pham表示,防御ClickFix攻击的首要措施是阻止恶意软件执行。"最有效的防御方法是禁用Windows运行框,可以通过修改注册表或使用组策略规则(GPO)来阻止与Windows运行框的交互。"
另一项对抗社会工程攻击的标准措施是开展有效的员工安全意识培训。"确保用户了解ClickFix攻击手法,"报告强调,"要明确合法的CAPTCHA或Windows更新流程绝不会要求粘贴和执行命令。"
此外,CISO应检查RunMRU注册表项(存储运行对话框最近执行命令的副本),确认用户是否通过运行对话框执行过可疑命令。
Pham还建议部署端点监控来检测可疑进程链,特别是explorer.exe启动mshta.exe或PowerShell时带有异常命令行参数的情况。"安全意识培训虽然重要,但不应作为唯一防线。"Pham总结道。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)