ClickFix 攻击借仿冒 Windows 更新界面推送恶意软件

研究人员发现了ClickFix 攻击的新变体：攻击者在全屏浏览器页面上显示高度逼真的Windows 更新动画，以欺骗用户并将恶意代码隐藏在图像文件中。

ClickFix本质上是一种社会工程攻击。其核心技术是诱骗用户在Windows命令提示符中粘贴并执行特定的代码或指令，最终导致恶意软件在目标系统上运行。

由于其极高的攻击成功率，ClickFix已被各个级别的网络犯罪分子广泛使用，并且还在不断迭代和发展。所采用的欺骗手段的技术复杂性和欺骗性也日益增加。

全屏浏览器页面的欺骗逻辑10月1日以来，研究人员观察到ClickFix攻击的两种主要欺骗借口：一是谎称“需要完成关键Windows安全更新的安装”，二是较为常见的“人机验证”。

假冒的更新页面会引导受害者按特定顺序按下快捷键，这些操作会自动粘贴并执行攻击者预设的指令。 —— 此前，攻击者已通过页面中运行的JavaScript 代码将恶意指令复制到用户的系统剪贴板。

假的Windows 安全更新屏幕

托管安全服务提供商Huntress发布的一份报告指出，这些新的ClickFix变种最终将发布两种信息窃取恶意软件：LummaC2和Radamanthys。

具体来说，其中一种攻击变体使用“人类身份验证”页面作为诱饵，另一种则依赖于虚假的Windows更新界面；但无论使用哪种方法，攻击者都会使用隐写术将最终的恶意软件负载编码隐藏在图像文件中。

攻击者不是简单地将恶意数据附加到文件中，而是将恶意代码直接编码到PNG 图像的像素数据中，使用特定的颜色通道在内存中重建和解密恶意负载。

恶意负载传递和执行过程恶意负载传递从调用Windows本机二进制文件mshta.exe开始，通过该文件执行恶意JavaScript代码。

整个攻击过程分为多个阶段，涉及PowerShell代码和.NET程序集（“stego加载程序”）——。后者负责重建隐藏在加密状态下的PNG文件中的最终恶意负载。

在Stego Loader的manifest资源中，有一个AES加密的数据块。该数据块本质上是一个隐写PNG文件，其中包含的shellcode需要通过自定义C#代码来重建。

研究人员还发现，攻击者使用了一种名为“ctrampoline”的动态规避技术：入口点函数会调用10,000 个空函数来干扰安全检测。

蹦床调用链

从加密镜像中提取隐藏信息窃取恶意软件的shellcode后，将通过Donut工具——进行加壳。该工具支持在内存中直接执行VBScript、JScript、EXE、DLL文件和.NET程序集，进一步提高了攻击的隐蔽性。

解包完成后，Huntress研究人员成功提取出恶意软件。本次分析的攻击案例中，涉及LummaC2和Radamanthys。

下图直观地展示了整个攻击过程的技术细节：

攻击概述

攻击溯源及执法干预早在10月份，研究人员就发现了一种使用“Windows Update”诱饵的Radamanthys攻击变种；随后在11 月13 日，Endgame 执法行动摧毁了该恶意软件的部分基础设施。

Huntress报告指出，此次执法行动的直接结果是，虽然伪造Windows更新的恶意域名仍然活跃，但已无法再传递恶意负载。

为了防止此类ClickFix攻击，研究人员建议采取两项核心防护措施：一是禁用Windows“运行”对话框；二是禁用Windows“运行”对话框。另一种是监控可疑进程链，例如“explorer.exe生成mshta.exe”或“explorer.exe生成PowerShell”异常进程关系。

另外，分析人员在调查网络安全事件时，可以检查“RunMRU”注册表项——。该注册表项记录了用户在Windows“运行”对话框中输入的指令，可以为追踪攻击源头提供关键线索。