新的您现在可以收听福克斯新闻的文章!
网络犯罪分子越来越擅长融入您每天使用的软件中。
在过去的几年里,我们看到了复制银行门户的网络钓鱼页面、声称您的设备已被感染的虚假浏览器警报以及迫使您运行绝对不应该接触的命令的“人工验证”屏幕。最新的变化来自正在进行的 ClickFix 活动。
攻击者现在不再要求您证明自己是人类,而是将自己伪装成 Windows 更新。它看起来足够令人信服,以至于你可能会不假思索地遵循说明,这正是他们想要的。
注册我的免费 CyberGuy 报告
将我最好的技术提示、紧急安全警报和独家优惠直接发送到您的收件箱。另外,当您加入我的网站时,您将可以立即免费访问我的《终极诈骗生存指南》 CYBERGUY.COM 通讯。
新诈骗发送假冒 MICROSOFT 365 登录页面
该恶意软件隐藏在看似正常的图像文件中,使用隐写术绕过传统的安全工具。 (微软)
假更新如何运作
研究人员注意到 ClickFix 已经升级了它的老把戏。该活动过去依赖人工验证页面,但现在你会看到全屏 Windows 更新屏幕,看起来几乎与真实的屏幕相同。 Joe Security 展示了该页面如何显示虚假进度条、熟悉的更新消息以及告诉您完成关键安全更新的提示。
如果您使用的是 Windows,该网站会告诉您打开“运行”框,从剪贴板复制某些内容并将其粘贴到其中。该“某些内容”是一个静默下载恶意软件植入程序的命令。最终的有效负载通常是信息窃取者,它会从您的计算机中窃取密码、cookie 和其他数据。
新的电子邮件诈骗利用隐藏字符来绕过过滤器
随着攻击者以近乎完美的精度模仿 Windows,伪造的更新屏幕变得越来越难以识别。 (乔保安)
当您粘贴命令时,感染链就开始了。首先,一个名为 mshta.exe 的文件连接到远程服务器并获取脚本。为了避免检测,这些 URL 通常对部分地址使用十六进制编码并旋转其路径。然后,该脚本会运行充满垃圾指令的混淆 PowerShell 代码,让研究人员望而却步。 PowerShell 完成工作后,它会解密充当加载程序的隐藏 .NET 程序集。
为什么这种攻击如此难以检测?
加载程序将其下一阶段隐藏在看起来像常规 PNG 文件的内容中。 ClickFix 使用自定义隐写术,这是一种将秘密数据隐藏在正常内容中的技术。在这种情况下,恶意软件位于图像的像素数据内。攻击者调整某些像素的颜色值,尤其是红色通道,以嵌入 shellcode 片段。当您查看图像时,一切看起来都很正常。
该脚本确切地知道隐藏数据所在的位置。它提取像素值,解密它们并直接在内存中重建恶意软件。这意味着没有任何明显的内容被写入磁盘。依赖文件扫描的安全工具会错过它,因为 shellcode 永远不会作为独立文件出现。
重建后,shellcode 将被注入到受信任的 Windows 进程(如 explorer.exe)中。该攻击使用熟悉的内存技术,例如 VirtualAllocEx、WriteProcessMemory 和 CreateRemoteThread。最近的 ClickFix 活动已经提供了 LummaC2 等信息窃取程序和 Rhadamanthys 的更新版本。这些工具旨在收集凭据并将其以极小的噪音发送回攻击者。
一旦隐藏代码加载到受信任的 Windows 进程中,信息窃取者就会悄悄开始收集您的数据。 (库尔特·“CyberGuy”·克努特森)
您可以采取 7 个步骤来保护自己免受 ClickFix 活动的侵害
保持保护的最佳方法是暂时放慢速度,并遵循一些步骤,在这些攻击开始之前将其切断。
1)永远不要运行你没有要求的命令
如果任何网站告诉您将命令粘贴到运行、PowerShell 或终端中,请将其视为立即警告信号。真正的操作系统更新永远不需要您从网页运行命令。当您运行该命令时,您将完全控制权交给了攻击者。如果感觉不对劲,请关闭页面并且不要进一步互动。
2) 将 Windows 更新保留在 Windows 内部
更新只能来自 Windows 设置应用程序或通过官方系统通知。冒充 Windows 更新的浏览器选项卡或弹出窗口始终是假的。如果您看到正常更新流程之外的任何内容要求您执行操作,请忽略它并自行检查真正的 Windows 更新页面。
3)使用信誉良好的防病毒软件
选择可以检测基于文件和内存中的威胁的安全套件。像 ClickFix 这样的隐形攻击可以避免留下明显的文件供扫描仪拾取。具有行为检测、沙箱和脚本监控功能的工具让您有更好的机会及早发现异常活动。
保护自己免受安装恶意软件并可能访问您的私人信息的恶意链接影响的最佳方法是在您的所有设备上安装强大的防病毒软件。这种保护还可以提醒您注意网络钓鱼电子邮件和勒索软件诈骗,确保您的个人信息和数字资产的安全。
获取我为您的 Windows、Mac、Android 和 iOS 设备挑选的 2025 年最佳防病毒保护获胜者: Cyberguy.com。
4)使用密码管理器
密码管理器为您使用的每个帐户创建强大且独特的密码。它们还仅在合法网站上自动填充,这可以帮助您捕获虚假登录页面。如果经理拒绝填写您的凭据,请在手动输入任何内容之前再次查看 URL。
接下来,查看您的电子邮件是否在过去的违规行为中暴露过。我们的第一选择密码管理器包括一个内置的漏洞扫描器,可以检查您的电子邮件地址或密码是否出现在已知的泄漏中。如果您发现匹配项,请立即更改所有重复使用的密码,并使用新的、唯一的凭据保护这些帐户。
查看 2025 年最佳专家评审密码管理器: Cyberguy.com。
5) 使用个人数据删除服务
许多攻击都是从已经在网上暴露的电子邮件和个人详细信息开始的。数据删除服务通过请求删除收集和出售您信息的数据代理网站来帮助缩小您的数字足迹。他们无法删除所有内容,但减少您的暴露意味着更少的攻击者可以轻松访问您的详细信息。
虽然没有任何服务可以保证从互联网上完全删除您的数据,但数据删除服务确实是一个明智的选择。它们并不便宜,而且你的隐私也不便宜。这些服务通过主动监控并系统地从数百个网站中删除您的个人信息来为您完成所有工作。这让我安心,并且已被证明是从互联网上删除个人数据的最有效方法。通过限制可用信息,您可以降低诈骗者将违规数据与他们可能在暗网上找到的信息交叉引用的风险,从而使他们更难瞄准您。
查看我精选的数据删除服务,并通过访问免费扫描以查明您的个人信息是否已在网络上公开 Cyberguy.com。
免费扫描以查明您的个人信息是否已在网络上公开: Cyberguy.com。
6) 在信任任何内容之前检查 URL
令人信服的布局并不意味着它是合法的。始终首先查看域名。如果它与官方网站不匹配或使用奇怪的拼写或额外字符,请将其关闭。攻击者依赖这样一个事实:人们认识页面的设计但忽略地址栏。
7)关闭可疑的全屏页面
虚假更新页面通常以全屏模式运行,以隐藏浏览器界面并使页面看起来像是计算机的一部分。如果网站在未经您许可的情况下突然全屏显示,请使用 Esc 或 Alt+Tab 退出。一旦你出去,扫描你的系统,不要返回到该页面。
库尔特的关键要点
ClickFix 之所以有效,是因为它依赖于用户交互。除非您按照屏幕上的说明进行操作,否则什么都不会发生。这使得假冒的 Windows 更新页面特别危险,因为它利用了大多数人信任的东西。如果您习惯 Windows 更新冻结屏幕,您可能不会质疑在此过程中出现的提示。网络犯罪分子知道这一点。他们复制可信接口来降低您的警惕,然后依赖您来运行最终命令。接下来的技术技巧很复杂,但出发点很简单。他们需要你帮助他们。
您是否曾经从网站上复制命令而不仔细考虑它们的作用?请写信告知我们 Cyberguy.com。
单击此处下载福克斯新闻应用程序
注册我的免费 CyberGuy 报告
将我最好的技术提示、紧急安全警报和独家优惠直接发送到您的收件箱。另外,当您加入我的网站时,您将可以立即免费访问我的《终极诈骗生存指南》 CYBERGUY.COM 通讯。
版权所有 2025 CyberGuy.com。版权所有。
