关键词

网络攻击

近期，一类被称为 JackFix 的 ClickFix 攻击变体受到安全研究团队关注。攻击者利用高度伪装的虚假 Windows 更新界面诱导受害者主动执行恶意命令，从而开启多阶段感染链。与传统伪造“系统修复”“机器人验证”类诱导不同，这一活动将攻击界面伪装得近乎原生系统提示，并通过全屏覆盖制造紧迫感，使用户误以为操作系统出现了严重错误。

研究人员分析发现，这些伪造的更新界面由 HTML 与 JavaScript 构建，会在受害者访问特定站点后立即弹出，并尝试通过前端脚本强制进入全屏模式，营造类似 Windows 更新或蓝屏恢复环境的视觉效果。同时，脚本会屏蔽 Escape、F11、F5、F12 等常用退出指令，以延迟用户逃离界面的可能性。尽管由于逻辑缺陷仍能被绕过，但多数非技术用户易被迷惑并按提示操作。

最关键的诱导步骤是让受害者打开 Windows 运行框、粘贴预置的命令并按下回车键。此命令通过合法系统文件 mshta.exe 调用嵌入式 JavaScript，从远程服务器下载并执行 PowerShell 脚本，由此进入真正的感染阶段。为了躲避直接访问检测，这些恶意服务器通常会在浏览器访问时跳转到正常站点，只有遇到 PowerShell 的 iwr/irm 请求才返回有效载荷。

下载的 PowerShell 脚本经过大量混淆，包含垃圾指令、反分析逻辑和持久化机制，同时不断尝试申请管理员权限。一旦用户同意 UAC 请求，脚本会为多条恶意路径与 C2 地址创建 Defender 排除项，使后续载荷能够顺利投递。

该活动的另一个显著特征是其“喷洒式载荷”策略。研究人员观察到攻击链可能一次性投递多至八种不同类型的恶意程序，包括 Rhadamanthys Stealer、Vidar、RedLine、Amadey 以及其他加载器和远控组件。攻击者显然希望至少有一种载荷能成功执行，以便获取密码、加密货币钱包、浏览器数据等敏感信息，并在必要时继续下发更多模块。

进一步的分析显示，这类攻击存在彼此关联的迹象。例如由不同团队披露的样本均使用与 mshta.exe 相关的初始命令，通过 PowerShell 在内存中执行后续脚本，并采用类似的域名轮换与路径切换策略。同时，有部分样本在最终阶段加载 .NET 程序集和 Donut 打包的 Shellcode，并借助图像隐写术将恶意代码隐藏在 PNG 文件中，在内存中解密后注入目标进程以完成 Lumma 或 Rhadamanthys 等信息窃取模块的部署。

综合这一系列行为可以看出，JackFix 代表了 ClickFix 流派的进一步演化。攻击者不再依赖简单的验证码或“修复向导”，而是构建更具沉浸感的系统级欺骗界面，通过诱导用户主动执行高权限命令来突破防护。由于执行入口是由用户亲自触发的，绝大多数安全策略难以在第一时间阻断。

面对此类攻击，组织级防护应重点放在用户教育以及管控关键系统功能。例如通过组策略禁止普通用户直接调用 Windows Run 对话框、限制 mshta.exe 运行、强化 PowerShell 审计策略等方式，都能显著降低攻击面。与此同时，提高员工对“复制粘贴命令”“系统更新提示”“执行脚本修复”的警惕性，也是阻止 ClickFix 系列攻击的重要手段。