导语:由于攻击成功率极高,ClickFix已被各层级网络犯罪分子广泛采用,且不断迭代进化,所用诱骗手段的技术复杂度与迷惑性也日益提升。
研究人员发现,ClickFix攻击出现新变体:攻击者通过全屏浏览器页面展示高度逼真的Windows更新动画诱骗用户,并将恶意代码隐藏在图像文件内。
ClickFix本质是一种社会工程学攻击,其核心手法是诱使用户在Windows命令提示符中粘贴并执行特定代码或指令,最终导致恶意软件在目标系统中运行。
由于攻击成功率极高,ClickFix已被各层级网络犯罪分子广泛采用,且不断迭代进化,所用诱骗手段的技术复杂度与迷惑性也日益提升。
全屏浏览器页面的诱骗逻辑
自10月1日起,研究人员观察到ClickFix攻击的两种主要诱骗借口:一是谎称“需完成关键Windows安全更新的安装”,二是更常见的“人机验证”。
虚假更新页面会引导受害者按特定顺序按下快捷键,而这些操作会自动粘贴并执行攻击者预设的指令——此前攻击者已通过页面中运行的JavaScript代码,将恶意指令复制到用户系统剪贴板。
假的Windows安全更新屏幕
托管安全服务提供商Huntress发布的报告指出,这些ClickFix新变体最终会释放LummaC2与Rhadamanthys两款信息窃取恶意软件。
具体来看,其中一种攻击变体使用“人机验证”页面作为诱饵,另一种则依托仿冒的Windows更新界面;但无论采用哪种方式,攻击者均通过隐写术将最终的恶意软件载荷编码隐藏在图像文件中。
攻击者并非简单地将恶意数据附加到文件中,而是将恶意代码直接编码到PNG图像的像素数据内,借助特定颜色通道在内存中重构并解密恶意载荷。
恶意载荷的投递与执行流程
恶意载荷的投递始于调用Windows原生二进制文件mshta.exe,通过该程序执行恶意JavaScript代码。
整个攻击过程分为多个阶段,涉及PowerShell代码与一个.NET程序集(即“隐写加载器”Stego Loader)——后者负责将加密状态下隐藏在PNG文件中的最终恶意载荷重构出来。
在Stego Loader的清单资源中,存在一个AES加密的数据块,该数据块本质是一个隐写PNG文件,其中包含的shellcode(外壳代码)需通过自定义C#代码进行重构。
研究人员还发现,攻击者采用了一种名为“ctrampoline”的动态规避技术:入口点函数会调用10000个空函数,以此干扰安全检测。
Trampoline调用链
隐藏信息窃取恶意软件的shellcode从加密图像中提取后,会通过Donut工具进行加壳处理——该工具支持在内存中直接执行VBScript、JScript、EXE、DLL文件及.NET程序集,进一步提升攻击隐蔽性。
脱壳完成后,Huntress研究人员成功提取出恶意软件,在此次分析的攻击案例中,涉及的正是LummaC2与Rhadamanthys。
下图直观展示了整个攻击流程的技术细节:
攻击概述
攻击溯源与执法干预
早在10月,研究人员就已发现采用“Windows更新”诱饵的Rhadamanthys攻击变体;随后在11月13日,Operation Endgame执法行动摧毁了该恶意软件的部分基础设施。
Huntress报告指出,此次执法行动的直接成效是:尽管仿冒Windows更新的恶意域名仍处于活跃状态,但已无法再投递恶意载荷。
为防范此类ClickFix攻击,研究人员建议采取两项核心防护措施:一是禁用Windows“运行”对话框;二是监控可疑进程链,例如“explorer.exe衍生出mshta.exe”或“explorer.exe衍生出PowerShell”的异常进程关系。
此外,在调查网络安全事件时,分析人员可检查“RunMRU”注册表项——该注册表项会记录用户在Windows“运行”对话框中输入过的指令,可为攻击溯源提供关键线索。
文章来源自:https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/如若转载,请注明原文地址
