江蘇
關鍵詞
網絡攻擊
近期,一類被稱為 JackFix 的 ClickFix 攻擊變體受到安全研究團隊關注。攻擊者利用高度偽裝的虛假 Windows 更新界面誘導受害者主動執行惡意命令,從而開啟多階段感染鏈。與傳統偽造“系統修復”“機器人驗證”類誘導不同,這一活動將攻擊界面偽裝得近乎原生系統提示,并通過全屏覆蓋制造緊迫感,使用戶誤以為操作系統出現了嚴重錯誤。
研究人員分析發現,這些偽造的更新界面由 HTML 與 JavaScript 構建,會在受害者訪問特定站點后立即彈出,并嘗試通過前端腳本強制進入全屏模式,營造類似 Windows 更新或藍屏恢復環境的視覺效果。同時,腳本會屏蔽 Escape、F11、F5、F12 等常用退出指令,以延遲用戶逃離界面的可能性。盡管由于邏輯缺陷仍能被繞過,但多數非技術用戶易被迷惑并按提示操作。
最關鍵的誘導步驟是讓受害者打開 Windows 運行框、粘貼預置的命令并按下回車鍵。此命令通過合法系統文件 mshta.exe 調用嵌入式 JavaScript,從遠程服務器下載并執行 PowerShell 腳本,由此進入真正的感染階段。為了躲避直接訪問檢測,這些惡意服務器通常會在瀏覽器訪問時跳轉到正常站點,只有遇到 PowerShell 的 iwr/irm 請求才返回有效載荷。
下載的 PowerShell 腳本經過大量混淆,包含垃圾指令、反分析邏輯和持久化機制,同時不斷嘗試申請管理員權限。一旦用戶同意 UAC 請求,腳本會為多條惡意路徑與 C2 地址創建 Defender 排除項,使后續載荷能夠順利投遞。
該活動的另一個顯著特征是其“噴灑式載荷”策略。研究人員觀察到攻擊鏈可能一次性投遞多至八種不同類型的惡意程序,包括 Rhadamanthys Stealer、Vidar、RedLine、Amadey 以及其他加載器和遠控組件。攻擊者顯然希望至少有一種載荷能成功執行,以便獲取密碼、加密貨幣錢包、瀏覽器數據等敏感信息,并在必要時繼續下發更多模塊。
進一步的分析顯示,這類攻擊存在彼此關聯的跡象。例如由不同團隊披露的樣本均使用與 mshta.exe 相關的初始命令,通過 PowerShell 在內存中執行后續腳本,并采用類似的域名輪換與路徑切換策略。同時,有部分樣本在最終階段加載 .NET 程序集和 Donut 打包的 Shellcode,并借助圖像隱寫術將惡意代碼隱藏在 PNG 文件中,在內存中解密后注入目標進程以完成 Lumma 或 Rhadamanthys 等信息竊取模塊的部署。
綜合這一系列行為可以看出,JackFix 代表了 ClickFix 流派的進一步演化。攻擊者不再依賴簡單的驗證碼或“修復向導”,而是構建更具沉浸感的系統級欺騙界面,通過誘導用戶主動執行高權限命令來突破防護。由于執行入口是由用戶親自觸發的,絕大多數安全策略難以在第一時間阻斷。
面對此類攻擊,組織級防護應重點放在用戶教育以及管控關鍵系統功能。例如通過組策略禁止普通用戶直接調用 Windows Run 對話框、限制 mshta.exe 運行、強化 PowerShell 審計策略等方式,都能顯著降低攻擊面。與此同時,提高員工對“復制粘貼命令”“系統更新提示”“執行腳本修復”的警惕性,也是阻止 ClickFix 系列攻擊的重要手段。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
