ClickFix攻击在2025年激增517%，假CAPTCHA传播恶意软件

2025-06-26 17:05:33

首页新闻* 根据ESET的数据，2025年初使用假CAPTCHA认证进行的攻击上涨了517%。

ClickFix技术导致一系列威胁，包括信息窃取恶意软件、勒索软件和定制的国家级恶意软件。
攻击量在日本、秘鲁、波兰、西班牙和斯洛伐克最高。
一种名为FileFix的新方法利用Windows文件资源管理器欺骗用户从他们的剪贴板执行恶意代码。
最近的网络钓鱼活动使用多种手段，包括假冒 .gov 域名和 SharePoint 链接，来窃取凭证和个人信息。来自ESET的网络安全研究人员报告指出，利用ClickFix方案的网络攻击大幅增加，该方案使用欺骗性的CAPTCHA检查以获得初步系统访问权限。这种攻击方式通过虚假的错误消息传播，欺骗受害者复制并运行有害命令，主要针对日本、秘鲁、波兰、西班牙和斯洛伐克的系统。

广告 - 最近数据显示，2024年底到2025年初，ClickFix事件增加了517%。攻击者使用ClickFix战术来传递各种网络威胁，包括信息窃取程序、勒索软件和复杂恶意软件。“ClickFix攻击导致的威胁列表与日俱增，包括信息窃取程序、勒索软件、远程访问木马、加密矿工、后渗透工具，甚至来自国家对齐威胁行为者的定制恶意软件，” ESET威胁预防实验室主任Jiří Kropáč说。

ClickFix机制通过显示令人信服的验证码或错误提示来工作，这些提示要求用户将脚本复制到Windows运行对话框或macOS终端。这些脚本随后在受害者的设备上执行恶意代码。ESET指出，攻击者现在正在出售工具，允许其他人创建自己的基于ClickFix的钓鱼页面，从而进一步传播这种方法。

安全研究员mrd0x最近展示了一种名为FileFix的类似攻击技术。FileFix不是使用验证码提示，而是要求用户将文件路径复制并粘贴到Windows文件资源管理器中。剪贴板内容实际上包含一个隐藏的PowerShell命令，当粘贴时会运行，给攻击者提供了另一种远程执行代码的方法。FileFix方法结合了Windows从文件资源管理器地址栏执行代码的能力与社会工程学策略。

随着这些发展的推进，安全团队发现了新的网络钓鱼活动，这些活动利用了受信任的服务和平台。一些使用假冒的 .gov 域名来诱骗受害者，而另一些则使用过期的网页域名或分发包含快捷方式文件的恶意 ZIP 文件，这些文件激活了远程访问工具，如 Remcos RAT。

攻击者还使用以SharePoint为主题的电子邮件将用户引导至托管在真实SharePoint域上的钓鱼页面，从而使检测变得更加困难。专家指出，这些钓鱼链接很难被发现，并且用户普遍信任，这增加了它们的有效性。