曾幾何時，驗證碼是橫亙在人與機器之間的那道數(shù)字藩籬，以看似簡單的交互，守護著虛擬世界的秩序。然而，當(dāng)人工智能的浪潮席卷而來，昔日涇渭分明的界限開始變得模糊不清。黑產(chǎn)團伙敏銳地捕捉到這種變化帶來的“信任錯位”，他們洞悉用戶對日漸繁瑣驗證機制的疲憊與麻木，精心編織出一張名為“Clickfix”的釣魚之網(wǎng)。 這項最早于2024年5月浮出水面的技法，歷經(jīng)短短半年的演變，已蛻變成一套復(fù)雜而成熟的攻擊體系，其背后的深思熟慮，令人警惕。
2024年12月，騰訊云安全科恩實驗室威脅情報中心捕獲到了多起國外黑灰產(chǎn)團伙通過Clickfix社會工程學(xué)釣魚手法對windows系統(tǒng)用戶進行攻擊的事件。

1.攻擊主要特征

觀察到的攻擊活動通常利用偽造的交互式頁面，模擬如 Google Meet 或 reCaptcha 等常用服務(wù)，誘導(dǎo)用戶執(zhí)行一系列操作，從而實現(xiàn)惡意代碼的傳播和執(zhí)行。 攻擊流程的關(guān)鍵步驟如下：

1. 攻擊者首先會部署精心設(shè)計的釣魚頁面，這些頁面會偽裝成合法的服務(wù)界面。隨后，頁面會彈出虛假的驗證碼窗口，或偽造需要修復(fù)軟件的告警提示。這些提示通常包含一個誘導(dǎo)性的“下一步”按鈕。當(dāng)受害者點擊該按鈕時，會觸發(fā)頁面內(nèi)置的惡意 JavaScript 代碼。這段代碼的核心功能是將一段經(jīng)過精心構(gòu)造的惡意 payload 復(fù)制到用戶的系統(tǒng)剪貼板中。此步驟旨在為后續(xù)的命令注入做好準備。
2. 頁面緊接著會引導(dǎo)受害者按下 “Win + R” 組合鍵，這在 Windows 系統(tǒng)中是打開“運行”對話框的快捷鍵。此步驟旨在為后續(xù)命令執(zhí)行提供入口。
3. 之后，頁面會指示受害者按下 “Ctrl + V” 組合鍵。該組合鍵用于粘貼剪貼板中的內(nèi)容，即將之前復(fù)制的惡意 payload 粘貼到“運行”對話框中。此步驟是利用用戶對快捷鍵的熟悉程度，降低用戶警惕性。
4. 最后，受害者被要求按下 Enter 鍵，這將觸發(fā)執(zhí)行先前粘貼到“運行”對話框中的惡意 payload。該 payload 通常是經(jīng)過混淆的 PowerShell 或 mshta 命令，這些命令負責(zé)從遠程服務(wù)器下載惡意腳本，并在受害者的系統(tǒng)中執(zhí)行。此步驟是攻擊鏈的最終階段，也是惡意代碼真正發(fā)揮作用的環(huán)節(jié)。

 
下圖為黑產(chǎn)團伙實施攻擊的完整流程，該流程可分為三個主要階段：

1. 初始訪問與惡意代碼注入： 黑產(chǎn)團伙首先利用漏洞（如 Web 應(yīng)用漏洞、插件漏洞等）或弱口令爆破等手段，非法獲取大量 WordPress 網(wǎng)站的控制權(quán)限。隨后，攻擊者會在這些被攻陷的網(wǎng)站上注入惡意的 JavaScript 代碼。此階段是攻擊鏈的初始環(huán)節(jié)，為后續(xù)的攻擊活動提供了立足點。
2. 用戶誘導(dǎo)與惡意命令執(zhí)行： 當(dāng)用戶正常訪問已被投毒的網(wǎng)站時，嵌入的惡意 JavaScript 代碼會被觸發(fā)。該代碼會偽造一個虛假的驗證碼程序（例如模仿 reCaptcha 等），誘導(dǎo)用戶執(zhí)行一系列操作，最終目的是讓用戶主動執(zhí)行剪貼板中預(yù)先復(fù)制的惡意命令。此階段利用了社會工程學(xué)技巧，誘使用戶成為攻擊的執(zhí)行者。
3. 下載與數(shù)據(jù)竊取： 一旦用戶執(zhí)行了惡意命令，其計算機就會從黑產(chǎn)團伙控制的遠程服務(wù)器下載惡意后門程序。該后門程序會在受害者的設(shè)備上潛伏，收集包括但不限于設(shè)備信息、瀏覽器歷史、cookie、用戶憑據(jù)等敏感信息，并將這些數(shù)據(jù)回傳到攻擊者控制的服務(wù)器。此階段是攻擊鏈的最終階段，旨在竊取用戶敏感信息，實現(xiàn)攻擊者的非法目的。

 

2.溯源分析

2.1.釣魚場景布置

攻擊者在實施本次釣魚攻擊活動中展現(xiàn)了高度的專業(yè)性和對抗性。以下將通過具體案例分析，深入剖析攻擊者所采用的技戰(zhàn)術(shù)。
某國內(nèi)傳媒企業(yè)網(wǎng)站（http://www[.]u-xxx.cn/）基于 WordPress 系統(tǒng)搭建。在訪問該網(wǎng)站時，用戶會遭遇彈出的偽造驗證碼窗口。通過審查網(wǎng)站源代碼（F12），可定位到被注入的惡意 JavaScript 代碼。值得注意的是，攻擊者并未采用 script src="..." 標簽加載外部惡意腳本的方式，此舉增加了檢測的難度。 經(jīng)過 Base64 解碼后，可還原惡意 JavaScript 代碼。代碼片段顯示，其邏輯涉及從 Binance Smart Chain (BSC) 鏈 RPC 節(jié)點獲取數(shù)據(jù)。 通過分析網(wǎng)絡(luò)行為，可觀察到惡意腳本向 https://data-seed-prebsc-1-s1[.]bnbchain[.]org:8545/ 發(fā)送請求，此為幣安鏈的 RPC 節(jié)點。攻擊者通過該請求獲取后續(xù)惡意代碼。他們將惡意代碼存儲于智能合約，以此規(guī)避傳統(tǒng)的威脅情報攔截措施。此外，智能合約的去中心化特性也使其難以被單點清除。 涉及的智能合約地址：

• 0x80d31D935f0EC978253A26D48B5593599B9542C7
• 0x7d0b5A06F8c43011fB66Eb90f61525A827eaE0d7

2.1.1.小結(jié)

1. 攻擊者利用插件漏洞或弱口令等手段，獲取大量 WordPress 網(wǎng)站的控制權(quán)限，并通過硬編碼 Base64 編碼的惡意 JavaScript 代碼，植入第一階段的惡意載荷。
2.  第一階段惡意代碼執(zhí)行后，會向 BSC 區(qū)塊鏈上的惡意智能合約地址發(fā)起請求，獲取最新的第二階段釣魚代碼內(nèi)容。智能合約的去中心化和不可篡改特性延長了惡意代碼的存活周期。
3. 瀏覽器運行第二階段惡意代碼后，彈出偽造的驗證碼窗口，誘導(dǎo)用戶執(zhí)行惡意操作。

結(jié)合上述規(guī)則，我們總結(jié)出FOFA測繪特征查詢語句如下

 
在2025年1月的時間點，全網(wǎng)有超過700個受害網(wǎng)站被植入了釣魚惡意代碼。

 

2.2.惡意代碼執(zhí)行

 
在誘導(dǎo)用戶執(zhí)行惡意代碼成功后，黑產(chǎn)團伙為了提升攻擊的成功率，大量利用了混淆技術(shù)，下面是自動復(fù)制到用戶剪貼板，誘導(dǎo)用戶執(zhí)行的惡意命令： 


該命令利用mshta加載遠程的惡意代碼，url通過cdn轉(zhuǎn)發(fā)跳轉(zhuǎn)到https://deduhko2[.]kliphuwatey[.]shop/Poket.mp4 （MD5：9fb3db7b334f385701b3c88d63b7e5ee ）執(zhí)行惡意代碼。
9fb3db7b334f385701b3c88d63b7e5ee是一個高度混淆的惡意代碼文件，首先通過.mp4后綴名來逃避檢測。其次該文件利用hta程序執(zhí)行的特征，往有效的script標簽之間塞入大量的垃圾數(shù)據(jù)躲避檢測。我們編寫了以下的反混淆腳本來還原惡意代碼：


還原后的代碼依然是高度混淆的，通過javascript的String.fromCharCode編碼技巧來隱藏惡意代碼躲避檢測。


這段javascript的作用是通過執(zhí)行powershell來加載下一階段的惡意代碼。為了自動化提取去混淆后的惡意代碼，我們可以使用騰訊云安全威脅情報中心官網(wǎng) https://tix.qq.com提供的“文件沙箱”功能，將Poket.mp4的后綴名改成.hta以后，投遞到“文件沙箱”，我們可以觀察到Att&ck行為規(guī)則命中的高危行為，其中正是執(zhí)行的powershell惡意命令，從https://deduhko[.]klipzyroloo[.]shop/mazkk.eml下載到下一階段的惡意代碼。 makk.eml 仍然是高度混淆的powershell惡意代碼，通過“文件沙箱”的網(wǎng)絡(luò)抓包能力，我們能夠提取到makk.eml執(zhí)行后的請求，以及下一階段的exe惡意程序。 makk.eml執(zhí)行后會上報受害者機器的信息，并從https://klipvumisui[.]shop/int_clp_sha.txt下載到最終的后門程序，經(jīng)過騰訊安全惡意文件分析平臺（云查）鑒定，該文件屬于HijackLoader變種，后續(xù)用于加載Lumma Stealer后門程序。

2.2.1.小結(jié)

用戶被誘導(dǎo)執(zhí)行惡意命令后，會觸發(fā)4階段的連鎖反應(yīng)，每階段運行的惡意代碼都經(jīng)過高度混淆且設(shè)置了多重逃避檢測機制，最后植入后門程序盜取用戶敏感信息。  
3.總結(jié)

ClickFix背后的攻擊者不僅在社會工程學(xué)技巧上表現(xiàn)出高度的專業(yè)化，巧妙地利用用戶對常見驗證機制的信任，更創(chuàng)新性地利用區(qū)塊鏈技術(shù)的去中心化特性來躲避傳統(tǒng)安全防護的檢測，延長惡意代碼的存活周期。攻擊鏈條中的多階段惡意代碼下載，以及對惡意代碼的層層混淆，都顯著增加了分析溯源的難度，凸顯了黑產(chǎn)團伙攻擊手法的復(fù)雜性和隱蔽性。
騰訊云安全威脅情報團隊作出以下呼吁來防范該類新型攻擊：

1. 警惕所有提示進行快捷鍵操作的彈窗信息。
2.  wordpress網(wǎng)站管理員加強對網(wǎng)站的安全管理，設(shè)置強密碼，禁用可疑插件。
3. 下載“騰訊電腦管家(https://guanjia.qq.com/ )”，開啟主動防御模塊并定時查殺。
4. 在安全運營流程中回掃下列關(guān)聯(lián)IOC是否存在，已輔助確定是否已經(jīng)出現(xiàn)相關(guān)威脅的干擾或已經(jīng)出現(xiàn)失陷主機。

4.IOC

• solve[.]vwglq[.]com
• solve[.]jenj[.]org
• solve[.]gevaq[.]com
• solve[.]fizq[.]net
• deduhko2[.]kliphuwatey[.]shop
• deduhko[.]klipzyroloo[.]shop
• klipvumisui[.]shop
• 9fb3db7b334f385701b3c88d63b7e5ee
• 617fa9b16221e1327bf21732b3e8e568
• 51f99eddd33cc04fb0f55f873b76d907

5產(chǎn)品體驗

前往官網(wǎng)  https://tix.qq.com/，了解更多騰訊云安全威脅情報中心產(chǎn)品矩陣