- ClickFix 是一种社会工程技术,它通过复制虚假错误或验证页面上的脚本来操纵用户执行恶意命令。
- 它被用作复杂攻击链中的初始访问向量,传播信息窃取程序和 RAT,例如 Lumma Stealer、NetSupport RAT、Latrodectus 或 ARECHCLIENT2。
- 这些攻击利用被入侵的网站、恶意广告、虚假验证码、Google Meet/Zoom 页面以及社交媒体上的视频,从而对用户和公司都造成影响。
- 该防御措施结合了 EDR 和高级监控,以及在社会工程、命令限制策略和对 RunMRU 和 PowerShell 日志等工件的审查方面的广泛培训。
ClickFix攻击已成为最流行的社会工程学伎俩之一。 在网络犯罪的世界里:一些看似无害的活动,例如虚假的浏览器警告或安全检查,最终却导致用户在电脑上运行恶意代码,而用户几乎毫不知情。
ClickFix并非一项技术噱头,它已经在拉丁美洲、欧洲和其他地区的实际营销活动中得到应用。传播信息窃取程序、远程访问木马(RAT)和复杂的加载程序,例如 GHOSTPULSE 或 NetSupport RAT,甚至利用 TikTok 视频或 YouTube 教程来接触成千上万的受害者。
ClickFix攻击究竟是什么?
ClickFix 是一种相对较新的社会工程技术(自 2024 年以来开始流行)。 其原理非常简单:说服用户复制命令并在自己的系统上运行命令来“修复”所谓的技术问题或完成验证。
恶意网站不会直接下载恶意程序,而是将脚本或命令注入剪贴板。 (例如,Windows 中的 PowerShell 或 MSHTA 命令),然后逐步显示说明,让受害者将其粘贴到控制台、运行框或终端中运行。
这种策略利用了许多研究人员所说的“验证疲劳”。用户习惯于快速点击“我是人类”、“修复它”或“立即更新”之类的按钮,而不会过多分析消息内容,这使得他们在屏幕看起来像 Cloudflare 验证、Google CAPTCHA 或 Google Meet 或 Zoom 错误时非常容易受到攻击。
ClickFix 这个名字正是来源于这些鱼饵上通常出现的按钮。文本中包含“修复它”、“如何修复”、“立即纠正”或“解决问题”等字样,让用户误以为他们正在应用快速解决方案,而实际上他们正在复制并运行一个下载恶意软件的脚本。
ClickFix攻击的运作原理详解
尽管存在许多变体,但几乎所有 ClickFix 攻击都遵循一个共同的步骤。 它结合了被入侵的网站、恶意 JavaScript 脚本以及“强制”用户干预来执行代码。
第一步通常是访问一个已被入侵的合法网站或一个直接恶意的页面。受害者可能通过钓鱼邮件中的链接、被操纵的搜索引擎结果(恶意 SEO)、恶意广告,甚至是 TikTok 或 YouTube 视频中的所谓“激活付费软件”的技巧而访问该网站。
该页面会显示一个模拟技术问题的虚假警告或验证信息。:文档加载错误、浏览器更新失败、Google Meet/Zoom 中的麦克风或摄像头问题,或者 Cloudflare 或 reCAPTCHA 等所谓的反机器人检查阻止您继续,除非某些问题得到“修复”。
用户一旦按下“正确”按钮或勾选“我是人类”复选框,系统就会立即启动。JavaScript 脚本会自动将恶意命令注入剪贴板,通常是经过混淆处理的 PowerShell 或 MSHTA 命令,然后从远程服务器下载另一段恶意软件。
该网站提供了详细的指南,指导受害者如何执行该命令。,例如:
- 点击“修复”按钮以“复制解决方案代码”。.
- 按 Win+R 打开“运行”窗口 在Windows上。
- 按 Ctrl+V 粘贴剪贴板中的内容 (恶意命令)。
- 按 Enter 键“修复问题”或继续验证.
在更高级的变通方法中,可以使用 Win+X 或浏览器控制台来完成此操作。用户被指示从快速菜单 (Win+X) 打开具有管理员权限的 PowerShell 终端,或者使用浏览器控制台 (F12 或 Ctrl+Shift+I),并将一段 JavaScript 代码或“验证”函数粘贴到那里。
命令执行完毕后,其余的感染过程会在后台进行。该脚本从命令与控制 (C2) 服务器下载其他部分,解压缩文件,通过侧加载执行恶意 DLL,最终在内存或磁盘上安装信息窃取程序或远程访问木马 (RAT)。
为什么 ClickFix 如此难以检测
ClickFix 对攻击者的一大优势是它可以绕过许多传统的安全屏障。因为感染链似乎是从用户自身开始的,而不是从下载的文件或传统的漏洞利用开始的。
不一定存在可疑附件或直接从浏览器下载的可执行文件。这意味着许多电子邮件过滤器、下载拦截器和 URL 信誉检查在第一阶段都看不到任何明显的恶意内容。
该命令从系统的“受信任 shell”(例如 PowerShell、cmd.exe 或浏览器控制台)执行。这使得恶意软件看起来像是合法活动,并使基于特征码的防病毒程序和一些不擅长行为分析的安全解决方案的工作变得更加复杂。
安全产品通常在恶意代码执行完毕后才能检测到威胁。 或者尝试整合到受保护的进程中,修改 hosts 文件等关键文件,建立持久性,或与 C2 服务器通信;也就是说,处于后渗透阶段。
到那时,攻击者可能已经获得了对系统的重要访问权限。:提升权限、窃取凭证、在企业网络中横向移动,甚至试图禁用防病毒软件和其他防御措施。
ClickFix 的实际应用场景:常见渠道和诱饵
多家安全实验室的调查显示,ClickFix 被广泛用于各种类型的攻击活动中。面向家庭用户和关键行业的公司。
攻击者通常利用这些渠道部署他们的 ClickFix 诱饵。:
- 合法网站遭到入侵他们在其中注入了 ClearFake 等 JavaScript 框架来显示虚假的更新或验证通知。
- 恶意广告(恶意广告)尤其是那些会将用户重定向到虚假软件下载或浏览器验证页面的横幅广告和赞助广告。
- YouTube 或 TikTok 上的教程和视频据称,他们利用一些技巧免费激活软件或解锁高级功能。
- 虚假技术支持论坛和模仿帮助门户网站的网站其中“建议”运行命令来修复系统错误。
在拉丁美洲,已有官方网站和大学网站遭到入侵的案例被记录在案。例如,智利天主教大学工业工程学院的网站或秘鲁警察住房基金的网站,最终都向访问者展示了 ClickFix 流程。
美国安全机构警告称,有针对搜索游戏、PDF 阅读器、Web3 浏览器或即时通讯应用的用户发起的攻击活动正在发生。这一切都是通过利用日常搜索将用户重定向到实施 ClickFix 的页面来实现的。
也有人发现一些营销活动依赖于所谓的 Google Meet、Zoom、DocuSign、Okta、Facebook 或 Cloudflare 页面。其中会显示浏览器错误或 CAPTCHA 验证,迫使用户按照顺序复制和执行命令。
通过 ClickFix 分发的最常见恶意软件
ClickFix 很少是攻击中唯一的组成部分。它通常只是初始载体,允许部署包含各种恶意软件的多阶段感染链。
在最近的竞选活动中,最引人注目的家族包括::
- 像 Vidar、Lumma、Stealc、Danabot、Atomic Stealer 或 Odyssey Stealer 这样的信息窃取者专门窃取浏览器凭证、cookie、自动填充数据、加密货币钱包、VPN 和 FTP 凭证等。
- 远程访问木马(RAT),例如 NetSupport RAT 或 ARECHCLIENT2(SectopRAT)这使得攻击者能够控制系统、执行命令、窃取信息并启动后续阶段,包括勒索软件。
- 高级加载器,例如 GHOSTPULSE、Latrodectus 或 ClearFake它们起到粘合剂的作用,下载、解密并将后续部分加载到内存中,通常采用非常复杂的混淆和加密层。
- 窃取财务和企业信息的工具它可以从表单、电子邮件客户端、消息传递和业务应用程序中提取数据。
在 2024 年和 2025 年的积极推广活动中,ClickFix 被发现参与了复杂的推广链。例如,ClickFix 诱饵程序会启动 PowerShell,下载一个包含合法可执行文件(例如 Java 的 jp2launcher.exe)和恶意 DLL 的 ZIP 文件,并通过侧载最终在计算机上运行 NetSupport RAT。
另一个常见案例是使用 MSHTA 和混淆后的 URL 指向诸如 iploggerco 之类的域名。这些服务模仿合法的 IP 缩短或注册服务;然后下载 Base64 编码的 PowerShell 脚本,最终释放 Lumma Stealer 暂存器或类似程序。
ClickFix 的真实案例研究和特色推广活动
来自多个事件响应团队和安全实验室的报告显示,已发现多起高度活跃的攻击活动。 以 ClickFix 为切入点。
在商业领域,一些行业已经观察到了显著的影响,例如: 先进技术、金融服务、制造业、零售和批发贸易、公共管理、专业和法律服务、能源和公用事业等众多行业。
在 2025 年 5 月的一次攻击活动中,攻击者使用 ClickFix 部署了 NetSupport RAT。 通过冒充 DocuSign 和 Okta 的虚假页面,利用与 ClearFake 框架相关的基础设施注入 JavaScript 来操纵剪贴板。
2025 年 3 月和 4 月期间,记录到 Latrodectus 家族控制的域名流量增加。该攻击最初使用 ClickFix 作为初始访问技术:一个被入侵的门户网站被重定向到一个虚假的验证页面,受害者通过 Win+R 运行 PowerShell,下载了一个 MSI 文件,该文件会释放恶意 DLL libcef.dll。
与此同时,还检测到了与 Lumma Stealer 相关的域名抢注活动。在这些攻击中,受害者被要求执行指向模仿 iplogger 的域的 MSHTA 命令;这些命令下载了高度混淆的 PowerShell 脚本,最终解压缩了包含 PartyContinued.exe 等可执行文件和 CAB 内容 (Boat.pst) 的软件包,以设置 AutoIt 脚本引擎,该引擎负责启动 Lumma 的最终版本。
Elastic Security Labs 还描述了 ClickFix 作为 GHOSTPULSE 初始入口的攻击活动。进而加载一个中间的 .NET 加载器,最后将 ARECHCLIENT2 注入内存,通过钩子和高级混淆绕过 AMSI 等机制。
在终端用户领域,一些供应商展示了简化的ClickFix攻击示例。 其中,“浏览器更新”页面或虚假的验证码会悄悄地将脚本复制到剪贴板,然后强制用户以管理员权限将其粘贴到 PowerShell 中,从而更容易连接到 C2 基础架构并下载修改系统的可执行文件。
一个尤其令人担忧的现象是 ClickFix 出现在 TikTok 上。即使是人工智能生成的视频也会宣传激活 Office、Spotify Premium 或编辑程序的免费付费版本的“简单方法”,但实际上它们会引导用户复制和粘贴恶意命令,从而安装 Vidar 或 Stealc 等信息窃取程序。
分析师如何检测ClickFix感染
虽然对用户来说这可能看起来像是黑魔法,但ClickFix感染会留下技术痕迹。 威胁狩猎团队和 EDR 系统可以利用这些信息来检测事件。
在 Windows 环境中,分析的重点之一是 RunMRU 注册表项。它会存储最近从“运行”窗口(Win+R)执行的命令:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
分析人员会审查这些条目,寻找可疑模式。:混淆的命令、使用 PowerShell 或 MSHTA 的不寻常 URL、对未知域的调用,或对普通用户通常不使用的管理工具的引用。
当攻击者使用 Win+X 组合键(快速访问菜单)启动 PowerShell 或命令提示符时线索在进程遥测中可以找到:进程创建事件(例如 Windows 安全日志中的 ID 4688),其中 explorer.exe 在按下 Win+X 后立即生成 powershell.exe。
与其他事件的关联,例如访问 %LocalAppData%\Microsoft\Windows\WinX\ 文件夹或执行后出现的可疑网络连接。这有助于描述 ClickFix 感染的典型行为,尤其是在 certutil.exe、mshta.exe 或 rundll32.exe 等进程紧随其后出现的情况下。
另一种检测途径是剪贴板滥用。高级 URL 过滤和 DNS 安全解决方案可以识别试图将恶意命令注入剪贴板缓冲区的 JavaScript,从而在用户完成操作序列之前阻止页面加载。
攻击者试图通过 ClickFix 技术达到什么目的?
所有这些社会工程行为背后都有一个明确的目标:从窃取的信息中获取经济利益。包括个人用户和组织用户。
通过 ClickFix 部署的信息窃取程序旨在收集凭据、cookie 和敏感数据。 存储在浏览器、电子邮件客户端、企业应用程序或加密货币钱包中,以及内部文档和财务数据中。
利用这些材料,不法分子可以实施多种犯罪活动。:
- 勒索公司威胁泄露有关组织或其客户的机密信息。
- 实施直接金融欺诈 通过利用被盗用的银行账户、在线支付系统或加密钱包。
- 冒充公司或其员工 对第三方实施欺诈,例如典型的CEO欺诈或BEC攻击。
- 在暗网上出售凭证和数据包 其他犯罪团伙将在未来的袭击中利用这些手段。
- 进行工业或地缘政治间谍活动 当目标是特定组织或战略部门时。
在许多有记录的攻击活动中,ClickFix 仅仅是发起更大规模攻击的第一步。连 勒索软件部署 在凭证被盗、长期访问公司网络或利用被入侵的基础设施作为跳板实现其他目标之后。
用户和企业如何保护自己免受 ClickFix 的侵害?
防御 ClickFix 需要结合技术、最佳实践和高度的防范意识。因为这项技术利用的薄弱环节恰恰是用户的行为。
就个人而言,有几条非常简单的黄金法则。 这大大降低了跌倒的风险:
- 切勿因为网站要求就将代码粘贴到控制台(PowerShell、cmd、终端、浏览器控制台)中。然而,无论它看起来多么合情合理。
- 要警惕 Cloudflare 验证、CAPTCHA 或要求执行奇怪步骤的“浏览器更新”页面。 不仅仅是点击一个方框或一个按钮。
- 请确保您的浏览器、操作系统和应用程序始终保持最新状态。安装来自官方渠道的补丁,而不是来自随机横幅广告或弹出窗口的补丁。
- 在重要账户上启用双因素身份验证 (2FA)即使攻击者成功窃取了密码,这样做也会增加他们的难度。
在企业环境中,除了这些建议之外,公司还应该更进一步。 并将 ClickFix 作为安全策略中的一个具体威胁加以应对。
组织需要采取的一些关键措施包括::
- 限制使用命令执行工具(PowerShell、cmd、MSHTA) 通过组策略、应用程序控制列表或 EDR 配置,使只有技术配置文件才能使用它们,并始终记录活动。
- 实施现代反恶意软件和EDR解决方案 具备基于行为的检测能力,即使在用户干预的情况下也能识别可疑的执行模式。
- 监控网络流量和与信誉度低的域的出站连接尤其针对网址缩短服务、新注册的域名或不常见的顶级域名。
- 定期审查 RunMRU、PowerShell 日志和安全事件等工件。 检测滥用 Win+R、Win+X 或管理控制台的迹象。
员工持续且切合实际的培训是其根本支柱。理论课程是不够的;进行受控的社会工程测试,模拟 ClickFix 类型的活动、CEO 欺诈、高级网络钓鱼或恶意广告,是很有用的。
这些模拟使我们能够衡量员工在这些技术方面的成熟度。调整防范策略,识别风险较大的领域,并强化在遵循网站或电子邮件中的可疑指示之前“停下来思考”的文化。
此外,企业必须做好充分准备,以便迅速应对突发事件。:当检测到可能的 ClickFix 案例或任何其他入侵途径时,应制定明确的应对计划、专门的团队或供应商,以及完善的遏制和根除流程。
ClickFix 技术的广泛传播清楚地表明,攻击者已经找到了一种非常有效的方法,使用户在不知不觉中成为帮凶。他们毫不犹豫地将其与复杂的恶意软件、动态 C2 基础设施以及在社交网络或搜索引擎上的大规模攻击活动结合起来;了解其工作原理、识别其信号并加强技术和用户教育,是如今遭受严重攻击或及时阻止攻击之间的关键区别。
