https://www.informationsecurity.com.tw/seminar/2026_GOV/

新聞

ClickFix 成主流攻擊投遞手法,API 架構助長進化

2026 / 07 / 03
編輯部
ClickFix 成主流攻擊投遞手法,API 架構助長進化
ClickFix 這類社交工程攻擊快速演進,不僅主導了惡意程式投遞的攻擊版圖,後端基礎設施也朝向商業化、自動化發展,並出現專門繞過 Windows 腳本掃描機制的新型投遞方式。

ClickFix 成為主流攻擊手法

資安公司 ReliaQuest 分析 2026 年 3 月至 5 月的攻擊活動後確認,ClickFix 已主導惡意程式投遞的攻擊格局。ESET 數據也顯示,該技術在 2024 年下半年至 2025 年上半年間的使用量暴增 517%;Microsoft《2025 年數位防禦報告》則指出,ClickFix 佔 Defender Experts 團隊觀察到的初始存取案例 47%。此外,這項技術已被納入 MITRE ATT&CK 框架(T1204.004)。

ClickFix 的核心手法是誘使受害者自行執行惡意指令:陷阱頁面會呈現偽造的 CAPTCHA 或錯誤訊息;隱藏的 JavaScript 先將指令寫入剪貼簿,再引導使用者按下特定快捷鍵、貼上指令並按 Enter。由於初始階段通常不涉及漏洞利用,也不會產生傳統防毒軟體可直接偵測的檔案,因此能有效繞過一般電子郵件與端點防護控管。

閱讀更多:ClickFix攻擊手法再進化:假冒CAPTCHA驗證竊取加密錢包與瀏覽器憑證

API 驅動的酬載生成架構

資安研究員 Bert-Jan Pals 拆解多個 ClickFix 平台,並分析約 3,000 個來自真實攻擊活動的酬載,並於 6 月初的 OrangeCon 資安研討會發表研究成果。

Pals 指出,ClickFix 頁面的惡意指令已不再是靜態內容,而是由後端伺服器按需生成,整體運作更像一種 API 服務:伺服器接收請求、驗證存取金鑰、記錄呼叫者,並在每次回應時回傳一段重新混淆的新指令。他向同一台伺服器請求 100 個酬載,就取得 100 個不同版本,分別以 Base64、AES、TripleDES、Rijndael、Deflate 等方式組合封裝。解包後,現階段所有酬載最終都還原為同一段腳本,並透過 PowerShell runspace 在記憶體中執行。同一平台也支援 25 種語言的誘餌頁面,並會依訪客作業系統提供對應的攻擊版本,包含 macOS 變體。

ESET 也追蹤到有犯罪者將現成的 ClickFix 建置工具販售給其他攻擊者,顯示此手法已形成服務化生態。

新型規避技術:Downloads 資料夾方法

Pals 另發現一種用來規避剪貼簿監控防禦的新型投遞手法。不同於傳統做法,這種手法會先在頁面背景中靜默下載檔案到 Downloads 資料夾,再將一段看似無害的「協調器」(orchestrator)指令複製到剪貼簿。該指令本身只負責移動檔案、解壓縮,並執行其中的腳本。

由於剪貼簿中的內容不含惡意酬載,真正的惡意內容改由已下載的外部檔案承載,藉此繞過 Windows 反惡意軟體掃描介面(Antimalware Scan Interface,AMSI)在腳本執行前的掃描。

在操作引導上,攻擊流程也逐漸從引導使用者按 Windows+R 開啟「執行(Run)」視窗,轉向引導按 Windows+X 開啟 Windows Terminal。Terminal 的操作行為看起來更為正常,且不像執行視窗會在 RunMRU 登錄機碼(registry key)留下痕跡,進一步增加鑑識難度。

國家級威脅組織也採用此手法

ClickFix 已不再只是一般犯罪組織的工具。Proofpoint 指出,俄羅斯 APT28、伊朗 MuddyWater、北韓 Kimsuky 等國家級威脅組織,皆已將 ClickFix 納入既有感染鏈。北韓駭客組織更開發「ClickFake Interview」變體,專門針對加密貨幣從業人員發動攻擊。相關衍生手法(如 FileFix、DownloadFix)也已出現,同樣利用 Windows 受信任的系統工具作為攻擊媒介。

macOS 威脅擴大

ReliaQuest 的分析也記錄到,ClickFix 首次被用於對 macOS 用戶投遞 Atomic Stealer(AMOS)惡意程式。AMOS 主要用於竊取瀏覽器憑證、工作階段 Cookie、加密貨幣錢包,以及系統鑰匙圈資料。攻擊者會引導使用者在 Script Editor 輸入指令,以繞過 Apple 為因應 ClickFix 而新增的 Terminal 指令掃描警告機制。ReliaQuest 警告,企業不應再將 macOS 視為低風險平台,而應提供與 Windows 同等級的監控與應變覆蓋。

延伸閱讀:北韓Lazarus 駭客集團鎖定macOS用戶,利用ClickFix手法發動攻擊

防護建議

  • 在 Windows 與 macOS 上進行 ClickFix 情境演練,教育使用者切勿將不明指令貼入「執行」視窗、Terminal 或 Script Editor。
  • 監控異常的程序呼叫鏈,例如 explorer.exe 或 WindowsTerminal.exe 啟動 powershell.exe、cmd.exe、msiexec.exe 後緊接著發出網路連線。
  • 部署行為式端點偵測與回應(EDR)工具,並設定應用程式控管規則,限制特定程式呼叫腳本解譯器的權限。
  • 針對 Downloads 資料夾方法,額外監控「存取 Downloads 資料夾後,隨即生成隱藏 PowerShell 程序」的單行指令活動。
  • 限制對「執行」對話視窗與剪貼簿的使用,並封鎖已知惡意廣告與網站的存取。

本文轉載自 TheHackerNews、InfosecurityMagazine。