釣魚警報 – ClickFix 出現新變種,攻擊同時針對 Windows 和 macOS
類別: 網絡釣魚
網絡釣魚警告
現況及相關趨勢
最近的威脅情報顯示,名為 "ClickFix" 的攻擊手法原本主要針對 Microsoft Windows,但如今已演變出新的變種,並鎖定 macOS 的用戶。此演變顯示該技術正不在斷進化,被更多不同的攻擊者利用。
傳統針對 Windows 的 ClickFix 攻擊
這類攻擊模仿網站常見的,用以區分合法使用者與機器人的「Verify You are a Human」測試。受害者被網站誘導按下特定鍵盤組合,最終導致在 Microsoft Windows 系統上下載並執行惡意軟體。
攻擊的過程通常如下:
- 要求用戶同時按下帶有 Windows 圖標的鍵盤鍵和字母 “R”,這將打開 Windows 的 “Run” 程序,並能夠透過此程序執行系統上已安裝的任何程序。
- 指導用戶同時按下 “CTRL” 鍵和字母 “V”,從而將網站虛擬剪貼板上的惡意代碼粘貼下來。
- 按下 “Enter” 鍵,促使 Windows 執行剪貼板上的惡意代碼。
針對 Windows 的最新變種 – 惡意利用 Windows 合法組件 rundll32.exe 與 WebDAV
最新的 ClickFix 變種惡意利用 Windows 合法組件 rundll32.exe 與 WebDAV 來傳送惡意載荷。它透過 ordinal calls 載入遠端 DLL,以規避偵測,減少對腳本引擎的依賴並繞過傳統監控。這種轉向透過利用 Windows 原生組件的方式,結合反分析技術,使攻擊更隱蔽且更難被發現。
(針對 Windows 用戶的 ClickFix 攻擊)
針對 macOS 用戶的變種 – Infinity Stealer
針對 macOS 的 ClickFix 變種透過假的 Cloudflare CAPTCHA 誘騙使用者,傳送 Infinity Stealer。受害者被誘導將惡意 curl 指令貼入 macOS Terminal,安裝一個使用 Nuitka 編譯的 Python-based infostealer,以增強逃避偵測能力。
Infinity Stealer 的功能包括:
- 竊取 Chromium-based browsers 與 Firefox 的憑證
- 提取 macOS Keychain 內容
- 存取加密貨幣錢包
- 讀取開發者檔案(如 `.env`)中的憑證或密鑰
所有被竊取的資料會透過 HTTP POST 請求傳送至 C2 server,並在完成後向攻擊者發送 Telegram 通知。此攻擊活動突顯 ClickFix 從 Windows 擴展至 macOS,並採用更先進、更隱蔽的技術。
.jpg)
(針對 macOS 用戶的 ClickFix 攻擊)
(來源: https://www.bleepingcomputer.com/news/security/new-infinity-stealer-malware-grabs-macos-data-via-clickfix-lures/)
建議
各機構及用戶應對不斷演變的 ClickFix 攻擊手法保持警覺,並採取主動措施以防止系統遭入侵,該手法現已同時針對 Windows 與 macOS 系統。為防範相關的 ClickFix 攻擊,請採取以下措施:
- 切勿跟隨可疑的 CAPTCHA 驗證提示,或將未知指令貼入 Windows Run 視窗或 macOS Terminal。
- 更新並維護安全軟體,以偵測及阻擋惡意的 rundll32 或 curl 活動。
- 封鎖已知的惡意網域,並監控網路流量中與 C2 servers 之間的可疑連線。
- 對網絡釣魚及社交工程手法保持警覺,避免與具欺騙性的 ClickFix 誘騙互動。
沒有留言:
發佈留言