新浪潮ClickFix 攻击通过被黑网站上的虚假验证码页面诱骗 Windows 用户运行 StealC 窃取恶意软件。受害者认为他们完成了 Cloudflare 安全检查。相反,他们执行部署信息窃取程序的 PowerShell 命令。
这些活动将社会工程与技术技巧结合在一起。受感染的网站会加载显示虚假验证屏幕的 JavaScript。用户按照以下步骤操作:按 Windows 键 + R、粘贴代码并按 Enter 键。这会启动多阶段感染,而不将文件保存到磁盘。
LevelBlue 研究人员追踪了整个链条。首先,PowerShell 从远程服务器获取 shellcode。该 shellcode 使用 Donut 框架来加载 64 位下载器。然后,下载程序将 StealC 注入到受信任的 Windows 进程 svchost.exe 中。
StealC 从 Chrome、Edge 和 Firefox 获取浏览器凭据。它还针对 MetaMask、Steam 文件、Outlook 数据和系统屏幕截图等加密钱包。攻击者使用 Base64 和 RC4 对 C2 流量进行编码以实现隐蔽性。
LevelBlue 指出:“ClickFix 通过利用用户对安全提示的信任,为隐秘的 StealC 信息窃取者打开了大门。”他们的报告详细说明:“该活动下载与位置无关的 shellcode,反射性加载 PE 下载器,然后注入合法进程。”
攻击流程
感染会避免磁盘写入以进行规避。
| 阶段 | 行动 | 技术逃避 |
|---|---|---|
| 1. 实地考察 | 加载假验证码 JS | 模仿 Cloudflare UI |
| 2. 用户输入 | 通过“运行”对话框运行 PowerShell | 社会工程 |
| 3. Shellcode DL | 从 C2 服务器获取 | 甜甜圈框架,仅内存 |
| 4.下载器 | 自定义 Visual C++ PE | 注入 svchost.exe |
| 5. 偷窃C | 窃取数据、泄露 | 双重混淆、RC4加密 |
被盗数据类型
- 浏览器登录和 cookie(Chrome、Edge、Firefox)。
- 加密扩展(MetaMask、Coinbase 钱包)。
- 游戏信用(Steam 授权文件)。
- 电子邮件数据(Outlook)。
- 系统信息以及屏幕截图。
检测标志
监视带有编码参数的奇怪 PowerShell。在流量中标记用户代理“Loader”。观看 VirtualAlloc 调用或浏览器数据库访问。通过EDR工具检查svchost异常。
防护措施
- 通过 AppLocker 阻止 PowerShell 进行网络下载。
- 对用户进行虚假验证码培训;切勿粘贴运行命令。
- 使用更新的 AV 进行扫描;启用 AMSI 进行脚本检查。
- 使用浏览器扩展来阻止恶意网站。
| 防御层 | 关键行动 | 工具 |
|---|---|---|
| 端点 | 启用脚本块日志记录 | 微软卫士 |
| 网络 | 过滤可疑的用户代理 | 代理/WAF |
| 用户 | 意识培训 | 网络钓鱼模拟人生 |
| 回复 | 寻找 shellcode 模式 | 系统监控、EDR |
FAQ
ClickFix 如何欺骗用户?
假 Cloudflare 验证码提示 Win+R、粘贴、Enter 运行恶意软件。
StealC 窃取了哪些数据?
凭证、加密钱包、电子邮件、浏览器和应用程序的屏幕截图。
为什么很难检测?
无文件;在内存中运行,注入到svchost等合法进程中。
如何阻止这些攻击?
约束 PowerShell、监控编码命令、更新 EDR 规则。
这些活动的目标是谁?
网络犯罪分子在地下市场出售窃取的数据。