記者吳立言/綜合報導
根據科技媒體 BleepingComputer 報導,資安研究人員近期發現社交工程攻擊「ClickFix」出現更具隱蔽性的變種。攻擊者利用全螢幕、足以以假亂真的 Windows 更新介面,引導受害者按照指示按下特定鍵盤組合,藉此執行惡意指令。
研究指出,這些攻擊網頁會透過 JavaScript 自動將惡意命令複製到剪貼簿,當使用者照著指示貼上並於系統執行後,就會啟動惡意程式下載流程。資安公司 Huntress 進一步揭露,這些變種主要投放 LummaC2 與 Rhadamanthys 資訊竊取工具,並大量使用隱寫術(Steganography),將最終惡意載荷藏在 PNG 圖像像素中,再以特定顏色通道重建程式碼,使偵測難度大幅提升。
▲假冒的Windows安全更新畫面。(圖/BleepingComputer)
除此之外,研究人員也發現攻擊者加入一項名為「ctrampoline」的防分析技術,會在程式啟動時連續呼叫上萬個空函式,藉此擾亂分析工具,讓逆向工程更難追蹤惡意程式的真實行為。最終階段則搭配名為 Donut 的工具,讓惡意程式能直接在記憶體中執行,不需要落地成檔案,因此更不容易被防毒軟體察覺。
研究指出,利用 Windows 更新畫面做誘餌的 Rhadamanthys 攻擊早在 10 月就被發現。不過 11 月 13 日的全球行動「Operation Endgame」已摧毀部分基礎設施,雖然假更新頁面仍能開啟,但已無法成功傳送惡意載荷。
Huntress 建議企業與一般使用者,可透過停用 Windows「執行」視窗,或監控是否出現 explorer.exe 異常啟動 mshta.exe、PowerShell 等可疑程序,以降低風險。此外,若要調查是否曾有人執行惡意指令,也能查看系統的 RunMRU 登錄鍵是否留有紀錄。
讀者迴響