研究人员发现，ClickFix 攻击出现新变体：攻击者通过全屏浏览器页面展示高度逼真的 Windows 更新动画诱骗用户，并将恶意代码隐藏在图像文件内。

ClickFix 本质是一种社会工程学攻击，其核心手法是诱使用户在 Windows 命令提示符中粘贴并执行特定代码或指令，最终导致恶意软件在目标系统中运行。

由于攻击成功率极高，ClickFix 已被各层级网络犯罪分子广泛采用，且不断迭代进化，所用诱骗手段的技术复杂度与迷惑性也日益提升。

全屏浏览器页面的诱骗逻辑

自 10 月 1 日起，研究人员观察到 ClickFix 攻击的两种主要诱骗借口：一是谎称 " 需完成关键 Windows 安全更新的安装 "，二是更常见的 " 人机验证 "。

虚假更新页面会引导受害者按特定顺序按下快捷键，而这些操作会自动粘贴并执行攻击者预设的指令——此前攻击者已通过页面中运行的 JavaScript 代码，将恶意指令复制到用户系统剪贴板。

假的 Windows 安全更新屏幕

托管安全服务提供商 Huntress 发布的报告指出，这些 ClickFix 新变体最终会释放 LummaC2 与 Rhadamanthys 两款信息窃取恶意软件。

具体来看，其中一种攻击变体使用 " 人机验证 " 页面作为诱饵，另一种则依托仿冒的 Windows 更新界面；但无论采用哪种方式，攻击者均通过隐写术将最终的恶意软件载荷编码隐藏在图像文件中。

攻击者并非简单地将恶意数据附加到文件中，而是将恶意代码直接编码到 PNG 图像的像素数据内，借助特定颜色通道在内存中重构并解密恶意载荷。

恶意载荷的投递与执行流程

恶意载荷的投递始于调用 Windows 原生二进制文件 mshta.exe，通过该程序执行恶意 JavaScript 代码。

整个攻击过程分为多个阶段，涉及 PowerShell 代码与一个 .NET 程序集（即 " 隐写加载器 "Stego Loader）——后者负责将加密状态下隐藏在 PNG 文件中的最终恶意载荷重构出来。

在 Stego Loader 的清单资源中，存在一个 AES 加密的数据块，该数据块本质是一个隐写 PNG 文件，其中包含的 shellcode（外壳代码）需通过自定义 C# 代码进行重构。

研究人员还发现，攻击者采用了一种名为 "ctrampoline" 的动态规避技术：入口点函数会调用 10000 个空函数，以此干扰安全检测。

Trampoline 调用链

隐藏信息窃取恶意软件的 shellcode 从加密图像中提取后，会通过 Donut 工具进行加壳处理——该工具支持在内存中直接执行 VBScript、JScript、EXE、DLL 文件及 .NET 程序集，进一步提升攻击隐蔽性。 

脱壳完成后，Huntress 研究人员成功提取出恶意软件，在此次分析的攻击案例中，涉及的正是 LummaC2 与 Rhadamanthys。

下图直观展示了整个攻击流程的技术细节：

攻击概述

攻击溯源与执法干预

早在 10 月，研究人员就已发现采用 "Windows 更新 " 诱饵的 Rhadamanthys 攻击变体；随后在 11 月 13 日，Operation Endgame 执法行动摧毁了该恶意软件的部分基础设施。

Huntress 报告指出，此次执法行动的直接成效是：尽管仿冒 Windows 更新的恶意域名仍处于活跃状态，但已无法再投递恶意载荷。

为防范此类 ClickFix 攻击，研究人员建议采取两项核心防护措施：一是禁用 Windows" 运行 " 对话框；二是监控可疑进程链，例如 "explorer.exe 衍生出 mshta.exe" 或 "explorer.exe 衍生出 PowerShell" 的异常进程关系。

此外，在调查网络安全事件时，分析人员可检查 "RunMRU" 注册表项——该注册表项会记录用户在 Windows" 运行 " 对话框中输入过的指令，可为攻击溯源提供关键线索。