資安業者 Huntress 最新報告顯示,過去十五個工作天威脅活動明顯增加,駭客正運用更複雜的攻擊鏈來規避偵測
攻擊手法大突破:從 ClickFix 到多重感染鏈
資安分析師近期發現一起極具代表性的攻擊案例,駭客以假冒的 AnyDesk 安裝程式為誘餌,初期採用經典的 ClickFix 攻擊手法,利用偽造的 Cloudflare 驗證頁面進行社交工程。
然而,這次攻擊的關鍵突破在於策略轉變:攻擊者不再依賴傳統的 Windows「執行」對話框,而是巧妙地利用 Windows 檔案總管和偽裝成 PDF 的 MSI 安裝包來部署 MetaStealer 惡意程式。
ClickFix 攻擊演進脈絡
ClickFix 攻擊的核心概念在於駭客誘導使用者「修復」一個虛構的問題,通常透過釣魚訊息將使用者引導至顯示驗證碼的網頁。所謂的「解決方案」要求受害者複製並貼上駭客提供的指令,這些指令會在不知不覺中啟動攻擊鏈。傳統的 ClickFix 攻擊會誘騙使用者在 Windows「執行」對話框或 PowerShell 中貼上並執行指令,而變種攻擊則採用其他方法。
幾個月前,攻擊者開始使用一種稱為 FileFix 的類似技術,它不使用「執行」對話框,而是利用 Windows 檔案總管發動攻擊。
FileFix 是 ClickFix 社交工程技術的進階版本,透過偽造的錯誤訊息或驗證提示,誘導受害者複製並執行惡意腳本。過去一年來,ClickFix 攻擊持續增加,駭客透過基於 CAPTCHA 的誘餌成功誘使使用者在電腦上執行惡意程式碼。
技術細節深度解析
這次攻擊的起點是假冒 AnyDesk 安裝程式的初始連結,會將使用者重定向至 https://anydeesk[.]ink/download/anydesk[.]html。該頁面呈現一個 Cloudflare Turnstile 驗證介面,並具有明顯可疑的使用者介面,宣稱提供「安全訪問驗證」,誘使使用者點擊 Cloudflare Turnstile 上的單一按鈕來「證明您是人類」。
透過檢視原始碼功能檢查網頁的底層 HTML 結構時,會發現頁面內容被混淆的 JavaScript 代碼所掩蓋。不過,利用瀏覽器開發者工具中的 JavaScript 解混淆功能,便能輕鬆揭開這層技術偽裝。經過解混淆處理後,真正的程式碼內容隨即現形,其中關鍵的 window.location.href 值為 https://verification[.]anydeesk[.]ink/reCAPTCHA-v2[.]php。
Windows 協定劫持的巧妙運用
到這一步為止,攻擊展現了 ClickFix 釣魚攻擊的所有典型特徵:使用經典的人機驗證社交工程手法,並誘導使用者點擊驗證框。然而,當受害者點擊驗證框後,這次攻擊並非引導至 ClickFix 攻擊中常見的 Windows 執行對話框,而是將使用者導向 Windows 檔案總管。
這種攻擊手法與 FileFix 攻擊相似,但並非完全符合其定義。傳統 FileFix 攻擊會誘導受害者在 Windows 檔案總管中開啟位址列,然後使用快捷鍵貼上已被自動複製到剪貼簿的 PowerShell 指令。在這次攻擊中,PHP 腳本直接將使用者重新導向至 Windows 協定處理程式(search-ms URI)。
這是 Windows 作業系統的一項合法功能,允許應用程式在 Windows 檔案總管中觸發特定搜尋查詢。Windows 檔案總管接著將受害者引導至攻擊者控制的 SMB 共享資源,一種允許用戶端透過網路存取遠端伺服器檔案的機制。在此,受害者會看到一個 Windows 捷徑(LNK)檔案,然而,這個檔案偽裝成名為 Readme Anydesk.pdf 的 PDF 文件。
竊取主機名稱並投遞惡意載荷
一旦被點擊,這個檔案會啟動多個處理程序。此時,cmd.exe 透過 Microsoft Edge 自動下載合法的 AnyDesk 安裝程式,可能是為了避免引起受害者懷疑。同時,它還下載另一個偽裝成 PDF 的檔案,從 chat1[.]store 下載到臨時目錄中。
這個偽造的 PDF 檔案被精心設計,能夠捕獲受害者的 %COMPUTERNAME% 環境變數,並將其作為子網域傳送給攻擊者。攻擊者不需預先知道使用者的主機名稱,而是透過這種巧妙方式竊取信息。該假 PDF 實際上是一個 MSI 安裝包,透過 msiexec 執行後,cmd.exe 處理程序會自動終止。
MetaStealer 威脅深度分析
MSI 安裝包包含兩個關鍵檔案:動態連結程式庫(CustomActionDLL)和 CAB 壓縮檔(Binary.bz.WrappedSetupProgram)。此壓縮檔內有多個檔案,其中兩個是惡意的:1.js(負責清除感染痕跡)和 MetaStealer 載入程式 ls26.exe。
這個 MetaStealer 檔案是體積龐大的二進位檔,受 Private EXE Protector 保護。深入分析顯示,它與已知的 MetaStealer 樣本行為模式一致,具有竊取加密貨幣錢包等功能。MetaStealer 是一種自2022年以來活躍的常見資訊竊取工具,專門竊取使用者憑證和重要檔案。
勒索軟體威脅並行發展
除了 MetaStealer 攻擊外,分析人員還發現兩起涉及 Cephalus 勒索軟體變種的事件。此勒索軟體的特點是透過合法的 SentinelOne 可執行檔 SentinelBrowserNativeHost.exe 進行 DLL 側載來執行惡意程式。這些發現凸顯了威脅行為者技術的持續演進,他們結合既有的社交工程手法,並搭配更加技術性的感染鏈和規避偵測的部署策略。
威脅態勢分析與防護啟示
ClickFix、FileFix 以及最近發現的 ClickFix 變種攻擊,都展現了將社交工程與日常程序(如驗證碼或其他身份驗證工具)結合的強大威力。這類攻擊需要受害者進行手動互動,尤其是當他們試圖「修復」所謂的故障程序時。這正是此類攻擊能夠繞過資安防護解決方案的主要原因之一。
過去針對 ClickFix 的企業防護指南主要建議採取措施,如禁止使用者使用 Windows 執行對話框(若日常工作不需要)。這些措施雖然能有效防範傳統的 ClickFix 攻擊,但如上所述的變種攻擊清楚表明,駭客組織持續改進其攻擊手法,對現有的偵測與防禦機制構成嚴峻挑戰。
資安專家建議的防護建議與對策包含:
- 技術層面:
- 限制 Windows 執行對話框使用權限,避免非必要的系統指令執行
- 強化 SMB 共享資源存取控制,防範惡意檔案透過網路共享傳播
- 部署進階威脅偵測解決方案,提升對複雜攻擊鏈的識別能力
- 實施應用程式白名單機制,限制未經授權的程式執行
- 使用者教育訓練重點:
- 加強使用者辨識 ClickFix 類攻擊誘餌的能力,特別是可疑的驗證碼頁面
- 訓練使用者識別引導複製貼上指令到「執行」對話框的網頁
- 提高對重新導向至 Windows 檔案總管異常行為的警覺性
- 強化對偽裝檔案類型(如假 PDF)的識別能力
- 組織整體防護策略:
織應採取更多防護措施,由於此類攻擊需要使用者手動互動才能成功,因此使用者教育訓練成為最關鍵的防線。組織必須持續更新安全意識訓練內容,確保員工能夠識別不斷演進的攻擊手法,並建立多層次的防護機制來應對這些複雜威脅。
本文轉載自 BleepingComputer。