俄羅斯 Sandworm 也改用 ClickFix
ClickFix 是一種把惡意指令包裝成 CAPTCHA 驗證的社交工程:網站要求訪客複製文字、貼進 Windows 終端機,實際執行的卻是 PowerShell、VBS 與後續惡意程式。這次烏克蘭 CERT-UA 發現,俄羅斯軍事情報單位 GRU 旗下的 Sandworm 已拿它攻擊烏克蘭敏感組織;至少一個單位遭入侵,裝置感染其客製化後門 FreakyPoll。
現實應用
對攻擊者來說,ClickFix 的價值是不用先突破瀏覽器,只要讓使用者相信「貼上指令才能證明是真人」即可取得執行能力。這波行動入侵至少十個網站,依訪客條件顯示假 CAPTCHA;初期以 GHETTOVIBE、SCOUTCURL 蒐集電腦規格、程式、檔案與瀏覽器資料,確認目標重要後,再部署 FreakyPoll、FluidLeech 或 LoadLoop。
企業網站管理員、SOC、政府機關與代管商都得留意。尤其員工會接觸外部網站、盜版軟體或即時通訊誘餌的組織,不能再把 CAPTCHA 當成單純的網頁互動。
期望評估
低標方面,我認為只要落實使用者教育、限制 PowerShell、監控 Startup 目錄與異常腳本下載,就能擋掉不少依賴人工貼上指令的攻擊。
高標方面,我猜成熟團隊可把網站遭竄改、端點指令紀錄、瀏覽器連線與後續外傳行為串起來,在偵察程式完成分類前就隔離裝置。不過 ClickFix 會持續換文案與載荷,單靠封鎖固定網域不太可能長期有效。
商業策略分析
受影響最大的會是 EDR、瀏覽器安全、代管服務與資安教育供應商。商業意義不在於新漏洞,而是國家級駭客開始採用犯罪集團驗證過、便宜又有效的手法。我認為值得跟進,但採購重點應放在腳本行為監控、網站完整性檢查與跨端點關聯分析,而不是再買一套只靠特徵碼的工具。
實作細節
CERT-UA 指出,攻擊者除了使用 Cloaking.House 篩選流量,也透過 SMARTAXE 從 smart contract 動態取得遠端網域,再替特定訪客置換頁面內容。防守方應檢查 web shell、未授權擴充套件、iframe、重新導向,以及突然出現在 Startup 目錄的 VBS 檔案。