IT之家 11 月 25 日消息，科技媒體 bleepingcomputer 昨日（11 月 24 日）發(fā)布博文，報道稱名為“ClickFix”的社會工程學(xué)攻擊出現(xiàn)了新變種，攻擊者通過一個足以亂真的全屏 Windows 更新動畫頁面，誘騙用戶執(zhí)行惡意代碼。

IT之家援引博文介紹，該頁面會指示用戶按下一系列特定按鍵，聲稱這是完成關(guān)鍵安全更新所必需的步驟。然而，這個操作實際上會觸發(fā)預(yù)先通過 JavaScript 復(fù)制到用戶剪貼板中的惡意命令，從而在系統(tǒng)中植入惡意軟件。

安全服務(wù)商 Huntress 的報告指出，這些新變種攻擊主要用于投放 LummaC2 和 Rhadamanthys 等信息竊取軟件。與以往直接附加惡意文件的方式不同，新攻擊采用了隱寫術(shù)（Steganography）。

攻擊者將惡意代碼直接編碼到 PNG 圖像的像素數(shù)據(jù)中，通過特定的顏色通道來重建和解密隱藏在內(nèi)存中的有效載荷。這種方法讓惡意軟件更難被發(fā)現(xiàn)，極大地增強了攻擊的隱蔽性。

整個攻擊過程相當(dāng)復(fù)雜，涉及多個階段。首先，攻擊者利用 Windows 系統(tǒng)自帶的 mshta.exe 程序執(zhí)行惡意 JavaScript 代碼。

隨后，通過 PowerShell 代碼和一個名為“Stego Loader”的 .NET 程序集，從加密的 PNG 文件中重建最終的惡意軟件。

為了躲避安全軟件的分析，攻擊者還使用了一種名為“ctrampoline”的動態(tài)規(guī)避技術(shù)，即在程序入口點調(diào)用上萬個空函數(shù)，干擾逆向工程分析。

研究人員早在 10 月就發(fā)現(xiàn)了利用 Windows 更新界面作為誘餌的 Rhadamanthys 惡意軟件變種。值得慶幸的是，11 月 13 日代號為“Operation Endgame”的執(zhí)法行動成功摧毀了其部分基礎(chǔ)設(shè)施。Huntress 的報告證實，這次行動讓托管虛假 Windows 更新頁面的域名已無法成功投放惡意載荷。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。