微软发现ClickFix攻击新变种：诱导用户在Windows终端自我植入恶意软件

ClickFix诈骗活动出现新变种，目前正诱骗Windows用户启动Windows终端并自行粘贴恶意软件代码，从而让凭证窃取工具Lumma能够直接访问用户的浏览器密码库。

根据微软威胁情报团队的报告，这一攻击活动于今年2月浮出水面，对传统ClickFix攻击手法进行了调整，旨在规避现有的一些安全检测机制。以往这类诈骗通常会诱导受害者通过Win + R快捷键打开Windows运行对话框,然后粘贴由伪造的验证码或故障排除提示提供的命令。而这次,攻击者将目标指向了一个略有不同的位置:通过Windows + X → I快捷键启动Windows终端。

虽然安全工具已经能够较好地识别从运行对话框启动的可疑活动,但Windows终端是一个合法的系统管理工具,许多开发人员每天都会使用它。换句话说,它看起来足够正常,能够融入日常系统活动中,而这正是攻击者所期望的。

诈骗手法本身仍然沿用了经过验证的社会工程学套路。受害者会进入一个伪装成验证提示、验证码检查或故障排除指南的网页。该页面随后会指示他们复制一条命令并粘贴到Windows终端中,通常会将其包装成验证连接或修复错误等无害操作。

受害者实际粘贴的是一条经过高度编码的PowerShell命令,它会启动一系列令人意外的复杂操作链。

在其中一种攻击变体中,该命令会自行解包并下载一个重命名的7-Zip压缩工具副本以及一个压缩载荷。然后压缩工具会提取更多组件,这些组件会建立持久化机制、修改Microsoft Defender排除项,并开始收集系统和浏览器数据。最后阶段会部署Lumma窃取器,这是一种常见的信息窃取工具,它会将自身注入Chrome和Edge进程中,窃取存储的登录凭证和其他浏览器数据。

第二种感染路径使用类似编码的命令来获取批处理脚本,该脚本会释放VBScript文件并使用包括MSBuild在内的多种Windows内置工具来执行它。

此时,脚本会连接到加密货币区块链基础设施——这种技巧有时被称为"EtherHiding"——然后启动相同的凭证窃取程序。

ClickFix攻击活动已经流传了一年多,主要是因为它们依赖于一种令人沮丧但却可靠的策略:说服用户自己运行恶意命令。该方案已被用于传播各种信息窃取工具和其他恶意软件,方法是将指令伪装成常规验证步骤。

微软的最新发现表明,诈骗者只是在调整这一套路以保持领先于安全工具一步——他们押注如果命令在合法的终端窗口中运行,许多用户会认为这没什么问题。

Q&A

Q1：ClickFix攻击的新变种有什么不同？

A：新变种不再诱导用户打开Windows运行对话框（Win + R），而是引导用户通过Windows + X → I快捷键启动Windows终端。由于Windows终端是开发人员常用的合法管理工具，这种方式更容易躲避安全检测，看起来像正常的系统活动。

Q2：Lumma窃取器是如何窃取用户信息的？

A：Lumma窃取器是一种信息窃取工具，它会将自身注入到Chrome和Edge浏览器进程中，从而窃取用户存储在浏览器中的登录凭证、密码和其他敏感数据。它通过一系列复杂的PowerShell命令链部署，还会建立持久化机制并修改系统安全设置。

Q3：为什么ClickFix攻击活动能够持续这么久？

A：ClickFix攻击之所以能持续一年多，主要是因为它利用社会工程学手段，诱导用户主动运行恶意命令。攻击者将恶意指令伪装成验证码检查、连接验证或故障修复等看似无害的常规操作，用户很容易上当并自行执行这些命令。