快科技 11 月 30 日消息，近日，网络安全研究公司 Huntress 曝光了一种更新版的 ClickFix 恶意软件，其伪装手法堪称迄今为止最巧妙、最险恶的信息窃取形式之一。

这款恶意软件主要出现在模仿热门网站的虚假成人网站上，通常以广告或年龄验证提示的形式出现，用户点击后会看到一个全屏的 Windows 更新画面，并显示进度条已完成 95%。

随后，它指示用户按下 "Windows 键 + R" 打开运行窗口，粘贴一段已预先复制好的恶意代码，并授予管理员权限。

一旦命令被激活，它会利用系统预装的 mshta 工具，为了躲避安全软件的检测，程序还会运行一段垃圾 PowerShell 代码，随后执行解密。

最狡猾之处在于，它能解密一个看似无害的 PNG 图片文件，并从图片的像素数据中提取真正的 Shell 指令，将其注入到目标平台上已运行的进程中。

最终，该恶意软件会部署 Rhada-manthys 或 LummaC2 等信息窃取程序，专门刮取用户保存在本地的用户名、密码、加密货币钱包及银行卡等敏感信息，并发送至境外服务器。

犯罪分子甚至在代码中使用了混淆技术，例如嵌入一段不相关的联合国会议，极大地增加了安全专家分析和检测的难度。

Huntress 指出，这种变体自十月初以来一直在互联网上流传建议用户务必仔细核对域名 URL，避免点击可疑广告，尤其不要在设备上运行任何由不可信来源直接提供的命令。