一種名為ClickFix的新感染策略越來越受網絡犯罪份子歡迎,這是一種用來感染Windows電腦,令用戶手動執行惡意腳本,這種策略首次出現於2024年春季,自此之後使用個案持續增加。
甚麼是ClickFix?
ClickFix其實就是嘗試在受害者的電腦上執行惡意指令,通常倚靠社交工程技術,以及種不同的藉口,攻擊者讓用戶複製一段長的指令(大部份個案都是PowerShell腳本),然後在Window的Run上貼上,再按下Enter,結果會導致系統遭入侵。攻擊通常由一個彈出視窗開始,偽裝一個技術問題的通知,要解決問題,用戶需要進行幾個簡單步驟,複製一些項目,然後在Run上執行。然而,在Windows 11在搜尋已經能夠執行PowerShell、尋找應用程式、設定和文件,有時候受害者會被要求把項目貼到那裡。
這技術被命名為ClickFix是因為通知上含有一個按鍵,與動詞「Fix it」有關,用戶需要點擊去解決所謂的問題,或查看指示去解決,然而這並非強制的元素,執行那些編碼的原因可能是要求查看電腦的安全,例如確定用戶並非機器人,這種情況Fix按鍵可以忽略。不同的個案劇本都略有不同,但攻擊主通常給受害者以下的指示:
- 點擊按鍵複製編碼去解決問題
- 按組合鍵[Win]+[R]
- 按[Ctrl]+[V]
- 按[Enter]
第一個動作其實是在剪貼本看不到的情況下複製腳本,第二步給合按鍵是打開 Windows的Run,它是Windows設計為快速啟動程式、打開檔案和資料夾,以及輸入指令,第三步是指腳本貼到Run,最後就是以當時用戶的權限執行編碼。執行腳本的結果是下載和安裝惡意程式到電腦,惡意內容會因不同的活動而異,整個過程是用戶在自己的系統執行惡意腳本,感染自己的電腦。
使用ClickFix技術的典型攻擊
有時攻擊者會創建他們自己的網站去遊說用戶,又或者入侵現存的網站並強迫他們顯示彈出視窗指示,有其他類似的指示透過電郵、社交網絡或即使通訊軟件發送,以下是部份典型的劇本:
- 無法顯示網頁,需要重刷瀏覽器 – 經典的劇本,訪客看不到網頁,並要求他們安裝瀏覽器更新。
- 錯誤讀取網頁文件 – 用戶不容許去觀看某些Word或PDF文件,改為顯示通知要求安裝插件去觀看。
- 從電郵打開文件時錯誤 – 攻擊者在這時會更換檔案格式,受害者看到.pdf或.docx,但點擊打開時是在瀏覽器打開HTML檔案,之後慣況和之前相似,需要安裝插件或惡意指示。
- Google Meet或Zoom的咪高峯及鏡頭問題 – 比適罕見的ClickFix策略,使用假Google Meet或Zoom網站,用戶收到視像通話連結,但不准許參加,因為咪高峯和鏡頭有問題,並附有「解釋」的訊息去解決。
- 假CAPTCHA證明你不是機器人 – 最奇怪的ClickFix攻擊,網站訪客被要求完成假CAPTCHA去證明他們不是機器人,但證明的方法是完成彈出視窗的指示。
防範Click Fix攻擊
最簡單防範ClickFix的機制是在系統封鎖[Win]+[R]按鍵組合,在一般員工的日常工具很少需要使用,然而在Windows 11由於可以透過搜索去執行,部份變種有更詳細的指示教導用戶如何手動打開Run。所以防守性的考量當然不可缺少員工的資安培訓,向他們傳達如果有人試圖對系統進行任何手動操作,都是需要提高警剔的訊號,其次就是在所有機構裝置使用可靠的防護方案,以及在mail gateway安裝訪護。
資料來源:Kaspersky Blog
