ClickFix诈骗活动出现新变种,目前正诱骗Windows用户启动Windows终端并自行粘贴恶意软件代码,从而让凭证窃取工具Lumma能够直接访问用户的浏览器密码库。
根据微软威胁情报团队的报告,这一攻击活动于今年2月浮出水面,对传统ClickFix攻击手法进行了调整,旨在规避现有的一些安全检测机制。以往这类诈骗通常会诱导受害者通过Win + R快捷键打开Windows运行对话框,然后粘贴由伪造的验证码或故障排除提示提供的命令。而这次,攻击者将目标指向了一个略有不同的位置:通过Windows + X → I快捷键启动Windows终端。
虽然安全工具已经能够较好地识别从运行对话框启动的可疑活动,但Windows终端是一个合法的系统管理工具,许多开发人员每天都会使用它。换句话说,它看起来足够正常,能够融入日常系统活动中,而这正是攻击者所期望的。
诈骗手法本身仍然沿用了经过验证的社会工程学套路。受害者会进入一个伪装成验证提示、验证码检查或故障排除指南的网页。该页面随后会指示他们复制一条命令并粘贴到Windows终端中,通常会将其包装成验证连接或修复错误等无害操作。
受害者实际粘贴的是一条经过高度编码的PowerShell命令,它会启动一系列令人意外的复杂操作链。
在其中一种攻击变体中,该命令会自行解包并下载一个重命名的7-Zip压缩工具副本以及一个压缩载荷。然后压缩工具会提取更多组件,这些组件会建立持久化机制、修改Microsoft Defender排除项,并开始收集系统和浏览器数据。最后阶段会部署Lumma窃取器,这是一种常见的信息窃取工具,它会将自身注入Chrome和Edge进程中,窃取存储的登录凭证和其他浏览器数据。
第二种感染路径使用类似编码的命令来获取批处理脚本,该脚本会释放VBScript文件并使用包括MSBuild在内的多种Windows内置工具来执行它。
此时,脚本会连接到加密货币区块链基础设施——这种技巧有时被称为"EtherHiding"——然后启动相同的凭证窃取程序。
ClickFix攻击活动已经流传了一年多,主要是因为它们依赖于一种令人沮丧但却可靠的策略:说服用户自己运行恶意命令。该方案已被用于传播各种信息窃取工具和其他恶意软件,方法是将指令伪装成常规验证步骤。
微软的最新发现表明,诈骗者只是在调整这一套路以保持领先于安全工具一步——他们押注如果命令在合法的终端窗口中运行,许多用户会认为这没什么问题。
Q&A
Q1:ClickFix攻击的新变种有什么不同?
A:新变种不再诱导用户打开Windows运行对话框(Win + R),而是引导用户通过Windows + X → I快捷键启动Windows终端。由于Windows终端是开发人员常用的合法管理工具,这种方式更容易躲避安全检测,看起来像正常的系统活动。
Q2:Lumma窃取器是如何窃取用户信息的?
A:Lumma窃取器是一种信息窃取工具,它会将自身注入到Chrome和Edge浏览器进程中,从而窃取用户存储在浏览器中的登录凭证、密码和其他敏感数据。它通过一系列复杂的PowerShell命令链部署,还会建立持久化机制并修改系统安全设置。
Q3:为什么ClickFix攻击活动能够持续这么久?
A:ClickFix攻击之所以能持续一年多,主要是因为它利用社会工程学手段,诱导用户主动运行恶意命令。攻击者将恶意指令伪装成验证码检查、连接验证或故障修复等看似无害的常规操作,用户很容易上当并自行执行这些命令。
好文章,需要你的鼓励
海外博主做了一次 Siri AI、ChatGPT、Claude 横评。看完之后我最大的感受是,AI 助手的竞争已经不只是模型能力,而是谁离用户更近。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
SkillOpt-Lite通过将智能体技能优化形式化为零阶优化问题,提出极简流水线:把执行轨迹存为文本文件,让AI直接用文件系统工具翻日志、找规律、改技能,配合独立验证门控,比复杂的多智能体优化框架跑得更快效果更好,并自然延伸至执行框架自动优化(HarnessOpt),使轻量模型能够超越大模型。