ClickFix 是一種社交工程攻擊手法,駭客透過各種誘餌說服使用者在 Windows 命令提示字元中貼上並執行指令,最終在系統中植入惡意軟體。根據微軟資料統計,ClickFix 已成為最常見的初始入侵方法,占攻擊活動的 47%。
資安公司 Acronis 發現了名為
JackFix 的新變種其回報數量已達數百件,遠高於近期其他 ClickFix 攻擊活動,主要集中在美國,但也遍及歐洲各地。
JackFix 透過惡意廣告將受害者引導至假冒的熱門成人網站,這些網站模仿 xHamster 和 PornHub 等平台。攻擊者推測來自俄語系地區。使用者一旦與頁面互動,就會看到佔據全螢幕的假 Windows 更新畫面。
假畫面完全以 HTML 和 JavaScript 程式碼建立,包含假的進度計數器和載入動畫。系統會封鎖 Escape、F11、F5 和 F12 等快速鍵,防止使用者退出全螢幕模式或檢查頁面內容。
Acronis 資深安全研究員 Eliad Kimhy 指出,
成人網站主題加上可能與可疑網站產生連結的擔憂,大幅增加了受害者的心理壓力,使其更願意遵從「安全更新」的指示。驚慌失措的使用者往往會執行平時不熟悉的操作。
多重規避技術突破安全防護
JackFix 採用多種方法規避安全防護。首先,它將用於複製到剪貼簿的 JavaScript 和惡意指令編碼到陣列中,僅在執行時於記憶體中重建,藉此躲避基於字串或模式的偵測規則。
其次,JackFix 的 URL 採用基於內容的過濾機制。訪客若直接造訪網站,系統會自動重新導向至 Google 或 Steam 等正常網站。只有透過 JackFix 攻擊流程進入,才會顯示惡意內容並提供惡意軟體。這使得網站更難被分析,也不易被威脅情報工具標記。
從 URL 下載的 PowerShell 腳本體積龐大且經過大量混淆處理,包含無用程式碼和隨機變數名稱。腳本會持續要求使用者授予管理員權限,並為自己建立多項 Microsoft Defender 排除項目。成功後,它會部署多達八個不同的商業惡意軟體,包括 Rhadamanthys、Vidar 2.0、RedLine 和 Amadey 等資訊竊取程式,以及多個載入器(Loader)。Acronis 將其形容為「我們見過最誇張的廣撒網案例」。
值得注意的是,海外資安業者都標記了相同的網域
securitysettings[.]live,顯示這些攻擊活動可能有關聯。研究人員指出,攻擊者經常變更用於託管第一階段 mshta.exe 的 URI。他們已從 securitysettings[.]live 網域轉移到 xoiiasdpsdoasdpojas[.]com,儘管兩者都指向相同的 IP 位址 141.98.80[.]175。
防護建議
研究人員建議組織採取以下措施防範 ClickFix 攻擊:
- 透過登錄檔變更或群組原則停用 Windows 執行對話框
- 監控可疑的程序鏈,例如 explorer.exe 產生 mshta.exe 或 PowerShell
- 限制瀏覽器的全螢幕功能
- 訓練員工識別此類威脅,提高警覺性
- 調查資安事件時,檢查 RunMRU 登錄檔機碼,確認使用者是否在 Windows 執行對話框中輸入指令
ClickFix 的成功關鍵在於誘使使用者主動感染系統並繞過安全控制。組織必須結合技術防護與員工教育,才能有效抵禦這類持續演進的社交工程攻擊。
本文轉載自 BleepingComputer、DarkReading、TheHackerNews。