摘要：曾几何时，验证码是横亘在人与机器之间的那道数字藩篱，以看似简单的交互，守护着虚拟世界的秩序。然而，当人工智能的浪潮席卷而来，昔日泾渭分明的界限开始变得模糊不清。黑产团伙敏锐地捕捉到这种变化带来的“信任错位”，他们洞悉用户对日渐繁琐验证机制的疲惫与麻木，精心编织

曾几何时，验证码是横亘在人与机器之间的那道数字藩篱，以看似简单的交互，守护着虚拟世界的秩序。然而，当人工智能的浪潮席卷而来，昔日泾渭分明的界限开始变得模糊不清。黑产团伙敏锐地捕捉到这种变化带来的“信任错位”，他们洞悉用户对日渐繁琐验证机制的疲惫与麻木，精心编织出一张名为“Clickfix”的钓鱼之网。 这项最早于2024年5月浮出水面的技法，历经短短半年的演变，已蜕变成一套复杂而成熟的攻击体系，其背后的深思熟虑，令人警惕。

2024年12月，腾讯云安全科恩实验室威胁情报中心捕获到了多起国外黑灰产团伙通过Clickfix社会工程学钓鱼手法对windows系统用户进行攻击的事件。

观察到的攻击活动通常利用伪造的交互式页面，模拟如 Google Meet 或 reCaptcha 等常用服务，诱导用户执行一系列操作，从而实现恶意代码的传播和执行。 攻击流程的关键步骤如下：

下图为黑产团伙实施攻击的完整流程，该流程可分为三个主要阶段：

下载与数据窃取： 一旦用户执行了恶意命令，其计算机就会从黑产团伙控制的远程服务器下载恶意后门程序。该后门程序会在受害者的设备上潜伏，收集包括但不限于设备信息、浏览器历史、cookie、用户凭据等敏感信息，并将这些数据回传到攻击者控制的服务器。此阶段是攻击链的最终阶段，旨在窃取用户敏感信息，实现攻击者的非法目的。

攻击者在实施本次钓鱼攻击活动中展现了高度的专业性和对抗性。以下将通过具体案例分析，深入剖析攻击者所采用的技战术。

某国内传媒企业网站（http://www[.]u-xxx.cn/）基于 WordPress 系统搭建。在访问该网站时，用户会遭遇弹出的伪造验证码窗口。通过审查网站源代码（F12），可定位到被注入的恶意 JavaScript 代码。值得注意的是，攻击者并未采用 script src=”…” 标签加载外部恶意脚本的方式，此举增加了检测的难度。

经过 Base64 解码后，可还原恶意 JavaScript 代码。代码片段显示，其逻辑涉及从 Binance Smart Chain (BSC) 链 RPC 节点获取数据。

通过分析网络行为，可观察到恶意脚本向 https://data-seed-prebsc-1-s1[.]bnbchain[.]org:8545/ 发送请求，此为币安链的 RPC 节点。攻击者通过该请求获取后续恶意代码。他们将恶意代码存储于智能合约，以此规避传统的威胁情报拦截措施。此外，智能合约的去中心化特性也使其难以被单点清除。

涉及的智能合约地址：

结合上述规则，我们总结出FOFA测绘特征查询语句如下

在2025年1月的时间点，全网有超过700个受害网站被植入了钓鱼恶意代码。

在诱导用户执行恶意代码成功后，黑产团伙为了提升攻击的成功率，大量利用了混淆技术，下面是自动复制到用户剪贴板，诱导用户执行的恶意命令：

该命令利用mshta加载远程的恶意代码，url通过cdn转发跳转到https://deduhko2[.]kliphuwatey[.]shop/Poket.mp4 （MD5：9fb3db7b334f385701b3c88d63b7e5ee ）执行恶意代码。

9fb3db7b334f385701b3c88d63b7e5ee是一个高度混淆的恶意代码文件，首先通过.mp4后缀名来逃避检测。其次该文件利用hta程序执行的特征，往有效的script标签之间塞入大量的垃圾数据躲避检测。我们编写了以下的反混淆脚本来还原恶意代码：

还原后的代码依然是高度混淆的，通过javascript的String.fromCharCode编码技巧来隐藏恶意代码躲避检测。

这段javascript的作用是通过执行powershell来加载下一阶段的恶意代码。为了自动化提取去混淆后的恶意代码，我们可以使用腾讯云安全威胁情报中心官网 https://tix.qq.com提供的“文件沙箱”功能，将Poket.mp4的后缀名改成.hta以后，投递到“文件沙箱”，我们可以观察到Att&ck行为规则命中的高危行为，其中正是执行的powershell恶意命令，从https://deduhko[.]klipzyroloo[.]shop/mazkk.eml下载到下一阶段的恶意代码。

makk.eml 仍然是高度混淆的powershell恶意代码，通过“文件沙箱”的网络抓包能力，我们能够提取到makk.eml执行后的请求，以及下一阶段的exe恶意程序。

makk.eml执行后会上报受害者机器的信息，并从https://klipvumisui[.]shop/int_clp_sha.txt下载到最终的后门程序，经过腾讯安全恶意文件分析平台（云查）鉴定，该文件属于HijackLoader变种，后续用于加载Lumma Stealer后门程序。

用户被诱导执行恶意命令后，会触发4阶段的连锁反应，每阶段运行的恶意代码都经过高度混淆且设置了多重逃避检测机制，最后植入后门程序盗取用户敏感信息。

ClickFix背后的攻击者不仅在社会工程学技巧上表现出高度的专业化，巧妙地利用用户对常见验证机制的信任，更创新性地利用区块链技术的去中心化特性来躲避传统安全防护的检测，延长恶意代码的存活周期。攻击链条中的多阶段恶意代码下载，以及对恶意代码的层层混淆，都显著增加了分析溯源的难度，凸显了黑产团伙攻击手法的复杂性和隐蔽性。

腾讯云安全威胁情报团队作出以下呼吁来防范该类新型攻击：

前往官网 https://tix.qq.com/，了解更多腾讯云安全威胁情报中心产品矩阵

来源：执争朝夕