返回
快讯

研究员分析 3000 个 live ClickFix payloads,揭露 API 驱动的 malware 投递

研究员 Bert-Jan Pals 分析约 3,000 个 ClickFix payloads,发现其后端已转向 API-driven servers 按访客生成不同伪装,并出现可绕过 Windows script scanning 的新投递方式。

ClickFix 这种靠诱骗人手动运行 malware 的手法,背后 quietly 长出了一个 back office。

新的 research 显示,藏在其假冒“prove you're human”页面后面的 malicious commands,如今是由 API-driven servers 发放;这些 servers 会把同一个 malware 以不同伪装发给每一位访客。同一项 research 也发现了一种新的 delivery method,专门设计来绕过 Windows 的 script scanning。

Security researcher Bert-Jan Pals 拆解了多个 ClickFix platforms,并分析了大约 3,000 个来自 live campaigns 的 payloads。他在 6 月初的 OrangeCon 上展示了这些 findings,并在 6 月 30 日发布了细节。

ClickFix 的设计本来就很简单。一个设有陷阱的 page 会显示假的 CAPTCHA 或 error,隐藏的 JavaScript 会把 command 丢进你的 clipboard,页面再叫你按一个 key combo、paste,然后按 Enter。是你自己把 malware 跑起来。

第一步通常没有 exploit,而且往往也没有传统 antivirus 能标记的 file,所以 conventional email 和 endpoint controls 可抓到的东西更少。

它确实有效到一个程度:ESET 统计,从 2024 年底到 2025 年上半年,ClickFix 增长了 517%;Microsoft 的 2025 Digital Defense Report 则把它列为 Defender Experts team 看到的 initial-access cases 中的 47%。

这项 technique 现在已经在 MITRE ATT&CK 里有自己的条目,T1204.004。

按需制作的 payloads

新的部分在于 payloads 是怎样被生产出来的。Pals 发现,这些 pages 会从 backend servers 拉取命令,这些 servers 的运作像 on-demand service:它们接收请求、检查 access token、记录 caller,然后每次都回传一个 freshly scrambled 的 command。

他向其中一个 server 索取了 100 个 payloads,结果拿到 100 个不同的版本,外面包着轮换使用的 Base64、AES、TripleDES、Rijndael 和 Deflate。剥开这些包装后,至少目前来看,它们全部都会解包成同一个 script,而这个 script 是通过 PowerShell runspace 在内存中运行的。

伪装是一次性的;但其下的 malware 不是,不过 Pals 警告说,核心 payload 很快就可能开始按每个 victim 变化。同一个 platform 还提供 25 种语言的 lures,并会根据访客的 operating system 来匹配 command,macOS 版本也和 Windows 版本同时存在。

“as-a-service” 这个标签不只是 branding。ESET 已经追踪到犯罪分子把现成的 ClickFix builders 卖给其他 attackers。Pals 发现了更深一层的平行商业化:每个 payload 都是按 request 被 churn out。

更安静的入侵方式:Downloads-folder 方法

第二个发现,是直接回应那些监视 clipboard 的 defenders。新版本页面不再复制 malicious command,而是复制一个看起来无害的命令。

页面会悄悄把一个 file 下载到 Downloads folder,而 clipboard 里放的是一条简短的“orchestrator” line,它会移动该 file、解包,并运行里面的 script。因为粘贴的只是那条 orchestrator,而不是 payload 本身,所以它被设计来滑过 AMSI;AMSI 是 Windows 的一个 feature,能让 antivirus 在 scripts 运行前进行扫描。坏 code 则留在下载下来的 file 里,放在旁边。观察到的 clipboard line 如下:

powershell -C "$t=$env:TMP;Move-Item \"$HOME\Downloads\tmp.zip\" \"$t\7947.zip\";tar -xf \"$t\7947.zip\" -C \"$t\";conhost --headless powershell -ExecutionPolicy Bypass -File \"$t\tmp.ps1\" # \"* I am not a robot reCAPTCHA Verification ID:7947 *\""

执行方式也在往 stealth 方向漂移。最早的 2024 lure 叫人按 Windows+R,然后贴到 Run box 里。到了 2025 年并延续到 2026 年的较新版本,则改为引导用户按 Windows+X,打开 Windows Terminal。使用 Terminal 看起来更正常,而且不像 Run box 那样,会在调查人员通常检查的 RunMRU registry key 里留下痕迹。

ClickFix 早就不再只是犯罪分子的工具。Proofpoint 把来自 Russia、Iran 和 North Korea 的 state-backed groups,包括 APT28、MuddyWater 和 Kimsuky,和把 ClickFix 塞进他们现有 infection chains 的 campaigns 联系起来;而 North Korean crews 也做了一个假工作面试版本“ClickFake Interview”,用来攻击 cryptocurrency workers。

这种 trick 还衍生出叫作 FileFix 和 DownloadFix 的亲戚,它们借用其他受信任的 Windows tools。规模也不是理论上的:security firm Expel 发现有一波 ClearFake,可能自 2025 年 8 月下旬以来已感染多达 147,521 台 systems。

防御者该注意什么

防御层面的教训没有变,只是细节变了。可靠的 signals 不是 clipboard text,而是 process chains:explorer.exe 或 WindowsTerminal.exe 紧接着启动 powershell.exe、cmd.exe 或 msiexec.exe,然后立刻连上 network。

这些在 Pals 的 data 里是最常见的 launchers,PowerShell 和 cmd 并列大约 39%,msiexec 紧随其后,接近 34%。

behavioral EDR、限制哪些 programs 可以调用 script interpreters 的 application-control rules,以及最直接的 user guidance(“绝不要把别人叫你运行的 command 粘贴进 Run box 或 terminal”)这些都仍然适用。Downloads-folder 方法又多了一样要找:一条看起来无害的 one-liner,先碰一下 Downloads folder,然后再启动一个 hidden PowerShell。

Pals 还列出了在 research 中看到的三个 payload servers:

comicstar[.]lat

babybon[.]cfd

merkantalolol[.]asia

连接到其中一个并不能证明已经感染。它只意味着某个 command 很可能被放进了某个人的 clipboard。

Pals 对这项 technique 的判断很直接:“ClickFix 会一直存在。”他 research 中的模式是,ClickFix 总是在 defenders 追上来时转移阵地,而从一次性 scripts 转向按需 payload servers,正是让这种适应能低成本重复下去的关键。

接下来值得观察的是,变化的会不会不只是外壳,而是 malware 本身也开始对不同 victim 采用不同版本。