2025年11月24日,网络安全领域再曝惊人事件,一种名为”ClickFix”的新型社会工程学攻击变种悄然蔓延。这种攻击手法极其隐蔽,攻击者精心制作了与真实Windows更新界面几乎无异的伪造全屏动画页面,通过高度拟真的视觉欺骗,诱骗用户在不知情的情况下按下键盘上的特定按键。一旦用户触发该操作,剪贴板中预先存储的恶意JavaScript代码便会自动执行,从而实现远程控制或数据窃取。
该攻击的主要目的是传播LummaC2和Rhadamanthys等知名窃密软件。为了进一步提升隐蔽性,攻击者采用了先进的隐写术技术,将恶意代码巧妙地编码在PNG图像的像素数据中,使得恶意内容在视觉上与正常图像无异,极大地增加了检测难度。这种将恶意代码与普通图像融合的技术,不仅提高了攻击的隐蔽性,也为攻击者提供了更广阔的传播渠道。
在攻击执行过程中,”ClickFix”攻击展现了极高的技术复杂度。攻击者首先利用mshta.exe创建一个临时的执行环境,随后通过PowerShell脚本进行权限提升和系统配置,最终借助”Stego Loader”组件分阶段加载完整的恶意载荷。这种多阶段的攻击策略不仅增加了安全防御的难度,也使得攻击过程更加难以追踪。更为关键的是,攻击者还使用了”ctrampoline”技术,通过动态调整代码执行流来干扰安全研究员的逆向分析工作,进一步巩固了攻击的防御壁垒。
值得注意的是,该攻击所依赖的后端基础设施此前已被网络安全组织在”Operation Endgame”行动中成功摧毁。然而,攻击者显然已经建立了冗余的攻击渠道和备用基础设施,显示出其长期准备和高度组织化的攻击特征。这一事件不仅揭示了当前网络攻击手法的不断演进,也警示各组织需加强针对新型社会工程学攻击的防范意识,特别是对涉及系统更新的操作流程进行严格规范。随着攻击技术的持续升级,未来网络安全对抗将面临更加严峻的挑战。
