11月25日消息,科技媒体bleepingcomputer昨日(11月24日)发文披露,名为"ClickFix"的社会工程学攻击出现最新变种。攻击者精心伪造了一个足以乱真的Windows全屏更新界面,诱骗用户执行恶意代码。
据该报道介绍,该界面会指导用户按下一系列特定按键,声称这是完成关键安全更新所需的步骤。实际上,这些操作会触发预先通过JavaScript植入剪贴板的恶意指令,从而在系统中植入恶意软件。

安全服务商Huntress的报告指出,这些新变种攻击主要用于投放LummaC2和Rhadamanthys等信息窃取软件。与以往直接附加恶意文件的方式不同,新攻击采用了隐写术(Steganography)。
攻击者将恶意代码直接编码到PNG图像的像素数据中,通过特定的颜色通道来重建和解密隐藏在内存中的有效载荷。这种方法让恶意软件更难以被发现,极大增强了攻击的隐蔽性。
整个攻击过程相当复杂,涉及多个阶段。首先,攻击者利用Windows系统自带的mshta.exe程序执行恶意JavaScript代码。
随后,通过PowerShell代码和一个名为"Stego Loader"的.NET程序集,从加密的PNG文件中重建最终的恶意软件。

为了规避安全软件的分析,攻击者还使用了一种名为"ctrampoline"的动态规避技术,即在程序入口点调用上万个空函数,干扰逆向工程分析。

研究人员早在10月就发现了利用Windows更新界面作为诱饵的Rhadamanthys恶意软件变种。值得庆幸的是,11月13日代号为"Operation Endgame"的执法行动成功摧毁了其部分基础设施。Huntress的报告证实,此次行动让托管虚假Windows更新页面的域名已无法成功投放恶意载荷。
