亚信安全揭秘ClickFix无文件社工钓鱼攻击手段新威胁

您是否曾想过

一次简单的"复制+粘贴"操作

竟可能让企业核心数据瞬间陷入勒索危机？

近期，亚信安全服务团队在一线应急响应中发现，Interlock勒索组织正在大规模使用一种钓鱼攻击手段——ClickFix。这种攻击手法毫无技术含量，杀伤效果却出人意料，已成为当前勒索攻击的"最优选入口"。

什么是ClickFix攻击？

ClickFix是一种"社交工程+无文件执行"的混合攻击方式。攻击者通过精心伪装的钓鱼页面，诱骗用户手动复制恶意命令行（通常是PowerShell脚本），然后粘贴到Windows系统的"运行"窗口（Win+R），按下回车后，恶意代码立即在内存中执行。

与传统攻击相比，ClickFix有三大致命特点：

无文件落地：恶意代码全程在内存中运行，不向硬盘写入任何文件，轻松绕过传统杀毒软件检测；

操作极简：仅需"复制+粘贴+回车"三步，10秒内即可完成入侵；

伪装性强：包装成"安全验证"、"系统修复"、"工具激活"等日常工作场景，难以识别。

攻击四步陷阱：您的企业可能正在"裸奔"

通过对真实攻击案例的分析，我们还原了ClickFix钓鱼的完整攻击链：

投放诱饵，诱导点击

攻击者会伪造各类合法网页，比如常用工具下载站、官方系统验证页、职场常用软件的激活页面等，通过网页搜索、内部聊天转发、伪装邮件链接等方式，诱导非技术人员点击进入。

伪装迷惑，制造紧迫感

用户点击链接后，网页会弹出虚假提示，最常见的就是仿冒“Cloudflare安全验证”“系统异常检测”“工具未激活无法使用”等内容，营造“必须完成操作才能继续使用”的紧迫感，让用户主动配合后续步骤。

第三步

核心陷阱，诱导执行命令

这是最关键的一步——网页会明确引导用户“按下Win+R打开运行窗口，复制下方命令粘贴，回车即可完成验证/修复/激活”。而这些命令往往是冗长、复杂的PowerShell脚本，大多数非技术人员无法分辨其恶意，很容易按照提示操作。

第四步

入侵闭环，潜伏待发

用户按下回车后，恶意脚本会在后台悄悄执行，无需落地任何文件，就能快速植入远程控制程序（RAT）。此时，攻击者已经获取了系统控制权，后续会逐步窃取系统凭据、横向渗透内网，最终加密文件、索要赎金，完成勒索闭环。

这种方式可以不在磁盘上落地生成任何文件，属于典型的无文件（Fileless）恶意执行行为，通过管道将远程代码直接在内存中加载运行，静态查杀、文件监控难以发现。

攻击正在快速进化，防御体系频频失效

具微软《2025 数字防御报告》（2025 年 10 月发布，覆盖 2024 年 7 月 —2025 年 6 月全球威胁数据，基于每日处理的 100 万亿条安全信号、50 亿封邮件筛查数据）显示：

• ClickFix 已成为全球最常见的初始入侵方式，占所有初始攻击手段的47%，是网络犯罪分子与国家级威胁行为体首选的社会工程学攻击手法；

• 2025 年相关攻击活动同比增长超 500%，呈现爆发式增长态势；

• 在超半数恶意软件加载活动中均检测到 ClickFix 的踪迹，其已成为恶意软件传播的核心载体之一。

据亚信安全专家分析，Windows平台和MacOS平台具备以下攻击特点：

Windows平台攻击特点：

• 早期形态：通过钓鱼页面诱导用户在Win+R“运行”对话框执行简单PowerShell命令

• 2025年演进：出现JackFix、CrashFix等变体，结合流量分发系统实现多载体投递

• 2026年初突破：与微软可信组件（SyncAppvPublishingServer.vbs）深度结合，利用Google日历、公共图床等可信服务

• 最新变种：使用net use命令映射网络驱动器，执行批处理文件，下载被修改的WorkFlowy应用

MacOS平台攻击演进：

• 传统方式：诱导用户打开“终端”工具，粘贴恶意命令执行

• 苹果防护：MacOS 26.4更新引入粘贴命令扫描机制

• 攻击绕过：放弃终端，转而利用系统自带的脚本编辑器作为突破口

• 新路径：构建伪装成苹果官方风格的恶意网页，谎称用户Mac存储空间不足，诱导点击触发applescript://URL协议

• 载荷：下载Atomic Stealer变种，专门窃取系统敏感数据

为何传统防御失效？

无文件落地：规避所有基于文件特征的扫描检测

滥用白名单：利用微软签名脚本、Google日历等可信应用绕过策略控制

用户主动触发：恶意行为由员工"合法"发起，EDR难以设定有效基线

基础设施隐蔽化：使用主流CDN、云存储服务，域名IP信誉良好

实战案例：高度仿真的钓鱼伪装

为了让大家更直观地识别ClickFix钓鱼陷阱，精准避开每一步诱导，我们整理了几款典型ClickFix钓鱼场景演示图，结合图片细节，帮大家快速识破攻击者的伪装套路。

以下演示图对应ClickFix钓鱼的关键环节，大家可对照图片特征，在日常工作中快速识别可疑场景，避免中招：

通过以上演示图，大家可以清晰看到ClickFix钓鱼的完整伪装逻辑——从仿冒网页到诱导命令，每一步都贴合日常工作场景，极具迷惑性。牢记这些图片特征，能帮助我们在第一时间识别陷阱，拒绝被攻击者利用。

同类型的其他ClickFix类型钓鱼页面：

模仿谷歌reCAPTCHA验证

模仿Cloudflare验证

企业防御：3步避坑法，守住ClickFix钓鱼防线

ClickFix钓鱼的核心危害，在于它利用了用户“主动执行命令”的操作，将入侵源头变成从边界网络的突破转嫁到对人的突破。面对ClickFix威胁，企业需要建立全新的防御思路：

安全红线：3步避坑法

坚决拒绝“盲目复制”：凡是要求“复制命令粘贴到运行窗口”“Win+R执行代码”的网页、弹窗，无论伪装得多么逼真，一律直接关闭，绝不执行任何陌生命令；

警惕“虚假伪装”：遇到“安全验证”“系统修复”“工具激活”等弹窗时，先核实来源——官方正规验证不会要求用户执行陌生命令行，若有疑问，可联系IT部门或安全服务部确认；

及时上报异常：一旦遇到诱导执行命令、可疑网页弹窗、不明来源的链接，第一时间截图留存，上报安全服务部，避免风险扩散，同时提醒身边同事注意防范。

亚信安全勒索风险排查服务

应对新兴威胁的专业武器

面对ClickFix等融合了高级社工与技术伪装的威胁，仅依靠安全产品堆砌或基础培训已远远不够。亚信安全服务部推出的 "勒索风险排查服务" ，通过专业、深度的前置介入，帮助企业量化风险、补齐短板，实现从"被动救火"到"主动免疫"的转变。

服务核心价值：

从被动救火到主动免疫体系化排查

精准检测高级威胁：基于800+勒索家族特征库和实战经验，可深度检测攻击痕迹、无文件驻留、隐蔽C2通信等高级威胁。

体系化风险排查：围绕“人、技术、管理”三大要素，贯穿勒索入侵6个阶段，对“云、网、边、端、人、体系”共计百余项进行地毯式核查。

提供可落地方案：不仅发现问题，更提供针对性、可操作的技术加固与管理提升方案。

我们的核心优势

• 专业：千余次/年勒索攻击应急实战经验积累了大量一线对抗经验；

• 权威：国家级应急支持单位、30年病毒防护基因、多年SL检查工作；持续运营的威胁情报体系，能及时捕获银狐等攻击的最新变种；

• 领先：九大实验室持续研发，拥有数十款自主知识产权的专业安全服务工具，保障服务效率与深度。

真实案例警示：业务中断的惨痛代价

大型集团案例：某大型集团公司海外子公司，因暴露面存在高危弱点，核心业务系统与客户数据被加密，导致当地业务中断超过72小时。不仅面临严厉的合规问责、高额罚款，还需支付客户赔偿及数据恢复费用。

制造行业案例：某制造企业遭银狐攻击，客户信息、生产工艺、财务等核心数据被盗取并在暗网标价售卖，引发客户恐慌与合作解约，企业面临监管处罚，核心技术优势受损，运营与品牌商誉遭受严重冲击。

专业安全服务是数字化转型的"必备保险"

ClickFix攻击年增长超500%的数据表明，网络威胁的进化速度已远超大多数企业防御能力的建设速度。当攻击者开始系统化利用社会工程、系统信任和云服务时，单纯的技术产品堆砌和合规检查已无法提供足够安全保障。

关键洞察：在ClickFix为代表的无文件攻击时代，安全防护的竞争是经验、情报与响应速度的竞争。选择亚信安全服务部的专业服务，不仅是购买一次评估或演练，更是为企业业务连续性购置一份关键保险，将我们积累的千余次实战经验、前沿威胁情报和系统化方法论，转化为可感知的风险降级与整体安全防护的提升。

我们希望本文不仅能提升您对ClickFix等新型威胁的认知，更能让您充分了解亚信安全勒索风险排查服务的独特价值。

关于亚信安全服务部

新兴风险应对专家-勒索治理与应急首选伙伴

亚信安全服务部是专注新兴风险应对、深耕专业攻防、勒索治理与应急响应的专家型团队，拥有年均干余次勒索应急与攻防实战经验，深度研究800余个勒索家族，兼具国家级应急支持单位的权威积淀，以及三十余年病毒技术研究的传承。