新型“FileFix”钓鱼攻击席卷全球：伪装文档修复工具，实为StealC窃密木马

近日，全球网络安全社区再次拉响警报：一种名为“FileFix”的新型社会工程攻击变种正通过多语言钓鱼网站大规模传播，目标直指普通用户的浏览器密码、加密货币钱包乃至剪贴板内容。该攻击手法巧妙融合本地化语言策略、合法云平台滥用与高级混淆技术，已对中小企业协作文档场景构成显著威胁。

据权威网络安全媒体《The Hacker News》9月16日报道，此次攻击由安全公司Acronis首次披露。研究人员发现，攻击者不再依赖传统的“点击运行”（ClickFix）模式，而是转而利用用户对“文件修复”功能的天然信任，诱导其在Windows资源管理器地址栏中粘贴看似无害的路径——实则是一段精心伪装的恶意PowerShell命令。

打开百度APP畅享高清图片

从“修复文档”到“交出密码”：攻击链条如何运作？

整个攻击流程极具迷惑性。受害者通常会收到一封伪装成社交平台（如Facebook）官方通知的邮件，声称其账号因“违规内容”将在7天内被暂停，需立即“申诉”。点击邮件中的按钮后，用户被引导至一个高度仿真的多语言钓鱼页面——页面会根据浏览器语言自动切换为中文、英语、西班牙语等版本，极大降低非英语用户的警惕性。

页面上赫然显示：“请复制以下路径到文件资源管理器，以查看政策违规详情PDF”。乍看之下，路径形如 C:\Users\Public\Documents\policy_violation.pdf，毫无异常。然而，当用户点击“复制”按钮时，剪贴板实际被注入的是一段以空格结尾的PowerShell命令。由于Windows资源管理器仅显示路径部分，多余字符被隐藏，用户毫无察觉地执行了恶意代码。

该命令随后从Bitbucket（知名代码托管平台）下载一张看似普通的图片。但图片实为“隐写载体”——其中嵌入了加密的下一阶段载荷。经过解码，一个用Go语言编写的轻量级加载器被激活，最终释放出StealC信息窃取器。

StealC并非新面孔，但其最新变种具备更强的持久化与反检测能力。它能静默窃取Chrome、Edge等主流浏览器保存的账号密码、Cookie会话，以及MetaMask等加密钱包扩展的私钥数据，甚至监控剪贴板内容，伺机替换加密货币收款地址实施“剪贴板劫持”。

为何FileFix比ClickFix更危险？

公共互联网反网络钓鱼工作组技术专家芦笛指出：“FileFix的‘创新’在于它绕过了传统防御的盲区。”

过去常见的ClickFix攻击，依赖用户手动打开Windows“运行”对话框（Win+R）并粘贴命令。许多企业已通过组策略禁用该功能，或部署终端检测系统（EDR）监控explorer.exe调用cmd.exe的异常行为。

但FileFix不同——它直接由浏览器进程触发命令执行。“这意味着恶意行为的源头是Chrome或Edge这类高权限、高信任度的应用，”芦笛解释道，“安全产品很难区分这是用户正常操作，还是攻击链的一环。这就像小偷穿着快递员制服进门，门禁系统根本不会报警。”

更棘手的是，攻击者还利用Cloudflare Workers动态生成钓鱼页面路径，每次访问的URL都不同，极大增加了基于URL黑名单的拦截难度。同时，页面代码经过碎片化与垃圾指令填充，静态分析工具难以还原真实逻辑。

中小企业成重灾区：协作文档场景成突破口

值得注意的是，此次攻击特别针对中小企业日常办公场景。芦笛分析：“很多团队习惯通过邮件或即时通讯工具分享‘损坏的Word/PDF文件’，并附上所谓‘修复工具链接’。这种操作在远程办公普及后尤为常见，而FileFix正是利用了这一心理惯性。”

一旦员工在公司设备上执行该“修复”流程，StealC不仅可窃取个人数据，还能获取企业邮箱、内部系统凭证，甚至为后续勒索软件攻击铺路。Acronis报告称，已有多个行业（包括电商、设计、外贸）的中小企业反馈遭遇此类攻击。

如何防御？专家给出四条实用建议

面对日益“拟真化”的钓鱼攻击，芦笛强调：“技术防御必须与用户意识提升双管齐下。”

阻断未知可执行文件下载：企业应配置防火墙或代理策略，禁止从非白名单域名下载.exe、.ps1、.ahk等可执行脚本。尤其需警惕Bitbucket、GitHub等代码平台被滥用于分发恶意载荷。

启用CDN脚本行为监控：虽然Cloudflare等CDN服务提升了网站性能，但也被攻击者用于隐藏恶意逻辑。建议部署具备JavaScript行为分析能力的WAF（Web应用防火墙），识别异常的动态路径生成或剪贴板操作。

只使用官方内置修复功能：任何声称“修复损坏文档”的第三方工具都应视为高风险。芦笛提醒：“Office、WPS等办公套件均有内置的文档恢复机制，无需额外下载程序。看到‘repair’‘fix’‘恢复文档’等关键词的外链，务必先核实来源。”

更新EDR内存行为特征库：StealC虽不断变种，但其在内存中解密、注入浏览器进程的行为具有共性。企业应确保终端防护系统支持对PowerShell无文件攻击、Go加载器内存加载等行为的实时检测。

网络安全没有“银弹”，但警惕是最好的盾牌

此次FileFix变种的出现，再次印证了网络攻击正从“广撒网”向“精准诱导”演进。攻击者不再追求技术炫技，而是深挖用户心理与工作流程的薄弱点。

“我们无法杜绝所有钓鱼邮件，”芦笛坦言，“但可以训练员工像对待陌生快递一样对待陌生链接——不轻信、不盲点、不随意执行。”

随着年底购物季与年终结算临近，网络安全专家预测此类伪装成“账单异常”“合同修订”“发票修复”的钓鱼攻击将更加猖獗。保持警惕，或许是你我抵御数字世界风险的第一道防线。

编辑：芦笛（公共互联网反网络钓鱼工作组）