11 月 25 日消息,科技媒体 bleepingcomputer 昨日(11 月 24 日)发布博文,报道称名为“ClickFix”的社会工程学攻击出现了新变种,攻击者通过一个足以乱真的全屏 Windows 更新动画页面,诱骗用户执行恶意代码。
该页面会指示用户按下一系列特定按键,声称这是完成关键安全更新所必需的步骤。然而,这个操作实际上会触发预先通过 JavaScript 复制到用户剪贴板中的恶意命令,从而在系统中植入恶意软件。
安全服务商 Huntress 的报告指出,这些新变种攻击主要用于投放 LummaC2 和 Rhadamanthys 等信息窃取软件。与以往直接附加恶意文件的方式不同,新攻击采用了隐写术(Steganography)。
攻击者将恶意代码直接编码到 PNG 图像的像素数据中,通过特定的颜色通道来重建和解密隐藏在内存中的有效载荷。这种方法让恶意软件更难被发现,极大地增强了攻击的隐蔽性。
整个攻击过程相当复杂,涉及多个阶段。首先,攻击者利用 Windows 系统自带的 mshta.exe 程序执行恶意 JavaScript 代码。
随后,通过 PowerShell 代码和一个名为“Stego Loader”的 .NET 程序集,从加密的 PNG 文件中重建最终的恶意软件。
为了躲避安全软件的分析,攻击者还使用了一种名为“ctrampoline”的动态规避技术,即在程序入口点调用上万个空函数,干扰逆向工程分析。
研究人员早在 10 月就发现了利用 Windows 更新界面作为诱饵的 Rhadamanthys 恶意软件变种。值得庆幸的是,11 月 13 日代号为“Operation Endgame”的执法行动成功摧毁了其部分基础设施。Huntress 的报告证实,这次行动让托管虚假 Windows 更新页面的域名已无法成功投放恶意载荷。