11 月 25 日消息,科技媒體 bleepingcomputer 昨日(11 月 24 日)發布博文,報道稱名為「ClickFix」的社會工程學攻擊出現了新變種,攻擊者通過一個足以亂真的全屏 Windows 更新動畫頁面,誘騙用戶執行惡意代碼。
IT之家援引博文介紹,該頁面會指示用戶按下一系列特定按鍵,聲稱這是完成關鍵安全更新所必需的步驟。然而,這個操作實際上會觸發預先通過 JavaScript 複製到用戶剪貼板中的惡意命令,從而在系統中植入惡意軟體。
安全服務商 Huntress 的報告指出,這些新變種攻擊主要用於投放 LummaC2 和 Rhadamanthys 等信息竊取軟體。與以往直接附加惡意文件的方式不同,新攻擊採用了隱寫術(Steganography)。
攻擊者將惡意代碼直接編碼到 PNG 圖像的像素數據中,通過特定的顏色通道來重建和解密隱藏在內存中的有效載荷。這種方法讓惡意軟體更難被發現,極大地增強了攻擊的隱蔽性。
整個攻擊過程相當複雜,涉及多個階段。首先,攻擊者利用 Windows 系統自帶的 mshta.exe程序執行惡意 JavaScript 代碼。
隨後,通過 PowerShell 代碼和一個名為「Stego Loader」的 .NET 程序集,從加密的 PNG 文件中重建最終的惡意軟體。
為了躲避安全軟體的分析,攻擊者還使用了一種名為「ctrampoline」的動態規避技術,即在程序入口點調用上萬個空函數,干擾逆向工程分析。
研究人員早在 10 月就發現了利用 Windows 更新界面作為誘餌的 Rhadamanthys 惡意軟體變種。值得慶幸的是,11 月 13 日代號為「Operation Endgame」的執法行動成功摧毀了其部分基礎設施。Huntress 的報告證實,這次行動讓託管虛假 Windows 更新頁面的域名已無法成功投放惡意載荷。
