北京
2023年底被安全圈记录为"小众手法"的ClickFix,如今已成网络犯罪最主流的入侵通道。Recorded Future最新报告显示,这种攻击在Windows和macOS双平台同时爆发,受害者亲手把恶意代码贴进系统,安全软件全程静默。
这不是技术漏洞,是人性漏洞。
攻击者完全绕过了软件层面的攻防,直接对用户下手。伪造的Cloudflare验证框、Google验证码界面,配上"请按Win+R粘贴以下代码完成人机验证"的指引——整套流程看起来比真的还真。
Recorded Future旗下Insikt Group在3月25日发布的报告中,梳理了五个活跃的ClickFix攻击集群。它们共享同一套核心骗术,却在主题、基础设施、目标行业上各走各路。冒充的服务涵盖Intuit QuickBooks、Booking.com、AI营销平台Birdeye,瞄准会计、旅游、房地产、法律服务等垂直领域。
用户成了"人肉提权工具"
ClickFix的阴险之处在于:它把用户变成了攻击链条中最难防御的一环。恶意代码通过后台JavaScript悄悄写入剪贴板,受害者按指引粘贴到Windows运行对话框或macOS终端,相当于亲手给攻击者开了系统后门。
Insikt Group研究员指出,这种"living-off-the-land"(就地取材)策略让攻击完全发生在系统原生工具内部。PowerShell、macOS Terminal这些被信任的实用程序,成了恶意代码的运输通道。浏览器安全扩展、URL过滤、沙箱检测——统统失效,因为执行发生在浏览器之外。
五个攻击集群的技战术呈现明显分化。QuickBooks主题集群针对Windows用户,粘贴的命令会启动隐藏的PowerShell进程,采用大小写混淆和缩短参数别名的手法躲避特征检测。
这个初始加载器连接nobovcs[.]com等攻击者控制的域名,获取名为bibi.php的二级脚本,最终植入NetSupport RAT远程控制工具。脚本还在用户本地应用数据目录下创建随机命名的文件夹,命名采用浪漫主题词汇——"Darling""Sweetheart"这类词被故意用来融入正常文件海洋。
国家背景黑客也下场抄作业
ClickFix的扩散速度超出一般网络犯罪工具的迭代曲线。Recorded Future确认,除常规黑产团伙外,APT28(与俄罗斯军事情报机构关联)和朝鲜背景的PurpleBravo组织也已将此法纳入武器库。
这种"降维打击"式的技术迁移值得玩味。国家背景攻击者通常拥有零日漏洞储备和定制开发能力,却选择采用面向大众的社工模板——说明ClickFix的投入产出比已经高到让专业选手也懒得重新发明轮子。
跨平台攻击链遵循高度一致的四阶段模式:混淆输入→原生系统外壳执行→远程基础设施拉取载荷→内存执行不留磁盘痕迹。Windows和macOS的路径分叉仅体现在入口指令上,核心逻辑完全复用。
macOS用户被引导至终端执行类似操作,最终植入的MacSync等工具专攻加密货币钱包数据。Odyssey Stealer、Lumma Stealer等家族也在不同集群中频繁出现,功能覆盖远程控制、凭据窃取、数字资产收割。
安全产品的"灯下黑"困境
ClickFix暴露了一个长期被回避的问题:终端安全产品的设计假设正在失效。传统EDR(端点检测与响应)依赖行为特征和文件落盘分析,而ClickFix的内存执行和系统工具调用,恰好踩在"正常操作"的灰色地带。
更棘手的是用户授权链条。当受害者主动按下Win+R、主动粘贴代码、主动回车执行,安全软件面临的不仅是技术判断,更是法律与体验的双重束缚——拦截一个用户"自愿"发起的操作,可能引发大量误报投诉。
Recorded Future在报告中没有给出乐观的缓解方案。企业级防御建议集中在用户教育和网络分段,本质上承认技术拦截的有限性。对于个人用户,识别伪造验证码界面的难度正在指数级上升——攻击者使用的视觉素材与正版服务的像素级差异,已经小到需要专业工具才能辨别。
一个细节值得注意:QuickBooks集群的脚本在创建持久化目录时,刻意选用浪漫词汇而非随机字符串。这不是技术必要,是心理战术——当用户某天偶然瞥见"Darling"文件夹时,更可能联想到自己的下载内容而非恶意软件。
这种对认知偏差的精准利用,让ClickFix超越了传统钓鱼攻击的粗糙感。它不要求用户点击可疑链接,不要求下载未知文件,只要求完成一个"验证流程"——而这个流程的每一步,都模仿着用户已经重复过无数次的真实操作。
当APT28和PurpleBravo都开始复制同一套平民化攻击模板,网络安全的话语体系或许需要一次根本性的调整。我们长期假设高级威胁需要高级防御,但ClickFix证明:最危险的入侵,可能只需要一个看起来够真的对话框,和一段用户亲手输入的"验证代码"。
你的杀毒软件最后一次提示"操作被用户主动执行,无法拦截"是什么时候?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
