ClickFix 攻击利用 Windows App-V 部署 Amatera 窃密恶意软件

ClickFix 攻击链利用 Windows App-V 部署 Amatera 窃密恶意软件

安全研究人员近期发现一起新型恶意活动，该活动结合了 ClickFix 技术、伪造 CAPTCHA 验证码 以及 已签名的 Microsoft 应用程序虚拟化（App-V）脚本，在 Windows 系统上部署 Amatera 窃密恶意软件。此次攻击展示了攻击者为绕过安全控制和规避检测而不断演进的战术。

攻击概览与技术细节

该攻击活动始于用户访问恶意网站或遭遇恶意广告（malvertising），触发 伪造的 CAPTCHA 验证提示。当受害者与 CAPTCHA 交互时，攻击链随即启动，利用 ClickFix —— 一种通过 HTML 注入操纵用户点击并执行恶意脚本的方法。

威胁行为者利用 Microsoft App-V（一种合法的应用程序虚拟化技术），通过 已签名的 App-V 脚本 执行任意命令。由于 Windows 系统本身信任 App-V 脚本，此技术使攻击者能够绕过安全限制。最终的有效载荷 Amatera 是一种窃密恶意软件，旨在窃取敏感数据，包括凭据、浏览器 Cookie 及加密货币钱包信息。

此次攻击的关键技术组件包括：

• 伪造 CAPTCHA 提示，诱骗用户启动攻击。
• ClickFix HTML 注入，操纵用户交互。
• 已签名的 App-V 脚本，以高信任级别执行恶意命令。
• Amatera 窃密恶意软件，用于数据窃取和持久化驻留。

影响与风险评估

Amatera 窃密恶意软件 对个人和组织构成重大风险。一旦部署，该恶意软件可：

• 窃取 登录凭据、浏览器 Cookie 及 自动填充数据。
• 盗取 加密货币钱包信息 及其他金融数据。
• 在受感染系统上建立持久化驻留，实现长期数据窃取。

由于 已签名的 App-V 脚本 通常被安全解决方案列入白名单，其使用增加了检测难度。此次攻击活动凸显了对 应用程序虚拟化工具 及 用户发起的脚本执行 进行严格监控的必要性。

缓解措施与建议

安全团队应采取以下措施以降低与该攻击活动相关的风险：

1. 监控并限制 App-V 脚本执行

   • 审计并限制 已签名 App-V 脚本 的执行，仅允许来自可信来源。
   • 实施 应用程序白名单，防止未经授权的脚本执行。

2. 提升用户安全意识

   • 培训员工识别 伪造 CAPTCHA 提示 及可疑的网络交互。
   • 鼓励报告异常弹窗或验证请求。

3. 部署高级威胁检测

   • 使用 终端检测与响应（EDR） 解决方案监控异常脚本执行。
   • 实施 行为分析，检测窃密恶意软件活动，如未经授权的数据窃取。

4. 更新与修补系统

   • 确保所有 Windows 系统 及 虚拟化工具 安装最新安全补丁。
   • 如业务无需求，禁用或限制 App-V 的使用。

5. 网络层面防护

   • 屏蔽与 Amatera 及类似窃密恶意软件相关的已知恶意域名。
   • 部署 网络过滤，防止访问恶意广告和钓鱼网站。

结论

此次攻击活动展示了现代网络威胁的复杂性，将 社会工程学、合法工具滥用 及 恶意软件部署 结合于单一攻击链中。组织必须采用 多层次安全策略，有效检测并缓解此类威胁。保持警惕、加强用户教育及主动监控是防御此类不断演进的攻击手段的关键。