The Last 24 Hours | 安全无小事

微软披露使用 Nslookup 的基于 DNS 的 ClickFix 攻击用于恶意软件分阶段

2026/2/15 威胁情报 The Hacker News

微软披露了 ClickFix 社会工程技术的新变种细节,攻击者诱骗用户运行命令执行 DNS 查询,以获取后续阶段的有效载荷。

具体而言,攻击利用 nslookup(名称服务器查询)命令,通过 Windows 运行对话框触发自定义 DNS 查询。

ClickFix 是一种日益流行的技术,传统上通过钓鱼、恶意广告或驱动下载方式投放,常将受害者重定向至伪造的登录页面,页面上提供假 CAPTCHA 验证或指示用户在 Windows 运行框或 macOS 终端中运行命令,以解决不存在的电脑问题。

过去两年该方法广泛传播,因为它让受害者自行在机器上感染恶意软件,从而绕过安全控制。ClickFix 的高效性催生了多个变体,如 FileFix、JackFix、ConsentFix、CrashFix 和 GlitchFix。

微软威胁情报团队在 X 上表示,最新的基于 DNS 的 ClickFix 变种首先通过 cmd.exe 执行命令,向硬编码的外部 DNS 服务器发起查询,而非使用系统默认解析器。返回结果中提取 Name: 字段的 DNS 响应,并将其作为第二阶段载荷执行。

微软指出,DNS 在此充当“轻量级分阶段或信令通道”,帮助威胁行为者联系其控制的基础设施,并在执行第二阶段载荷前增加验证层。

使用 DNS 可降低对传统网页请求的依赖,使恶意活动更易混入正常网络流量。

下载的载荷随后启动攻击链:从外部服务器 azwsappdev[.]com 下载 ZIP 档案,解压出恶意 Python 脚本并运行,以进行侦察、执行发现命令,并投放负责启动 ModeloRAT 的 VBScript。ModeloRAT 是一种基于 Python 的远程访问木马,之前通过 CrashFix 分发。

持久化方式为在启动文件夹创建指向该 VBScript 的 Windows 快捷方式(LNK),使恶意程序在系统启动时自动运行。

此披露恰逢 Bitdefender 警告 Lumma Stealer 活动激增,攻击者利用 ClickFix 风格的假 CAPTCHA 页面部署 AutoIt 版 CastleLoader,后者与灰色组织 GrayBravo(别名 GrayBravo)关联。

CastleLoader 在执行前会检查虚拟化环境和安全软件,只有在检测不到这些防护时才解密并启动信息窃取程序。除 ClickFix 外,提供破解软件和盗版影片的站点也常被用于诱导用户下载伪装成 MP4 的恶意安装程序。

其他 CastleLoader 攻击链使用伪造的 NSIS 安装程序运行混淆的 VBA 脚本,随后通过 AutoIt 加载 Lumma Stealer;VBA 加载器会创建计划任务以实现持久化。

尽管 2025 年执法部门对 Lumma Stealer 进行过多次打击,但该窃取程序仍在迁移至新托管服务并适配不同加载器后继续活跃。CastleLoader 在这些攻击中居于核心位置。

CastleLoader 基础设施中的一个域名被标记为 Lumma Stealer 的 C2,表明两者可能存在协作或共享基础设施。感染主要分布在印度,其次是法国、美国等国家。

Bitdefender 认为 ClickFix 的成功在于利用用户对常规操作流程的信任,而非技术漏洞。攻击指令往往模仿故障排查步骤,使受害者在不知情的情况下执行任意代码。

近年来,多个使用 ClickFix、CastleLoader、Lumma Stealer 等加载器的攻击活动在 macOS 与 Windows 平台上同步出现,涉及多种信息窃取工具和远程访问木马。

  • 针对 macOS 的钓鱼与恶意广告链,投放 Odyssey Stealer(Poseidon Stealer 的改名),该窃取器可窃取 203 种浏览器钱包扩展和 18 种桌面钱包的凭证。
  • Windows 平台的 ClickFix 链接使用伪造的 CAPTCHA 页面,引导用户执行 PowerShell 命令部署 StealC 信息窃取器。
  • 利用受保护的 ZIP 档案中的恶意 SVG 文件,诱导受害者通过 ClickFix 运行 PowerShell,最终部署开源 .NET 窃取工具 Stealerium。
  • 针对生成式 AI 服务(如 Anthropic Claude)的公共分享功能,攻击者在搜索引擎赞助结果中投放 ClickFix 指令,分发 Atomic Stealer、MacSync Stealer 等 macOS 窃取工具。
  • 利用老旧且已有声誉的域名(如 raxelpak[.]com)进行分阶段载荷下载,以规避检测。

Flare 的最新分析显示,攻击者正日益针对 Apple macOS 投放信息窃取器和高级工具,几乎所有 macOS 窃取器都以加密货币盗窃为首要目标。