验证码对抗之殇｜Clickfix最新钓鱼事件分析报告

主要观点总结

本文介绍了Clickfix攻击的背景、特点、实施过程以及防范建议。攻击者利用社会工程学技巧，通过伪造验证码等方式诱导用户执行恶意操作，实现了恶意代码的传播和执行。文章还分析了攻击者如何利用区块链技术的去中心化特性来躲避检测，并详细描述了恶意代码的执行流程。

关键观点总结

关键观点1: 攻击特点

攻击者利用伪造的交互式页面，模拟常用服务，诱导用户执行一系列操作，实现恶意代码的传播和执行。攻击流程包括钓鱼页面部署、恶意代码注入、用户诱导与恶意命令执行、下载与数据窃取等阶段。

关键观点2: 溯源分析

攻击者通过硬编码Base64编码的恶意JavaScript代码，植入第一阶段的恶意载荷。第一阶段恶意代码执行后，向BSC区块链上的恶意智能合约地址发起请求，获取最新的第二阶段钓鱼代码内容。智能合约的去中心化和不可篡改特性延长了恶意代码的存活周期。

关键观点3: 防范建议

用户需警惕提示进行快捷键操作的弹窗信息；WordPress网站管理员应加强对网站的安全管理，设置强密码，禁用可疑插件；用户可下载腾讯电脑管家并开启主动防御模块，定时查杀；安全运营团队应回扫相关IOC是否存在，以确定是否出现相关威胁。

文章预览

曾几何时，验证码是横亘在人与机器之间的那道数字藩篱，以看似简单的交互，守护着虚拟世界的秩序。然而，当人工智能的浪潮席卷而来，昔日泾渭分明的界限开始变得模糊不清。黑产团伙敏锐地捕捉到这种变化带来的“信任错位”，他们洞悉用户对日渐繁琐验证机制的疲惫与麻木，精心编织出一张名为“Clickfix”的钓鱼之网。这项最早于2024年5月浮出水面的技法，历经短短半年的演变，已蜕变成一套复杂而成熟的攻击体系，其背后的深思熟虑，令人警惕。 2024年12月，腾讯云安全科恩实验室威胁情报中心捕获到了多起国外黑灰产团伙通过Clickfix社会工程学钓鱼手法对windows系统用户进行攻击的事件。 1.攻击主要特征 观察到的攻击活动通常利用伪造的交互式页面，模拟如 Google Meet 或 reCaptcha 等常用服务，诱导用户执行一系列操作，从而实现恶意代码 ………………………………