最新 11 月 25 日消息，科技媒体 bleepingcomputer 昨日（11 月 24 日）发布博文，报道称名为“ClickFix”的社会工程学攻击出现了新变种，攻击者通过一个足以乱真的全屏 Windows 更新动画页面，诱骗用户执行恶意代码。

最新援引博文介绍，该页面会指示用户按下一系列特定按键，声称这是完成关键安全更新所必需的步骤。然而，这个操作实际上会触发预先通过 JavaScript 复制到用户剪贴板中的恶意命令，从而在系统中植入恶意软件。

安全服务商 Huntress 的报告指出，这些新变种攻击主要用于投放 LummaC2 和 Rhadamanthys 等信息窃取软件。与以往直接附加恶意文件的方式不同，新攻击采用了隐写术（Steganography）。

攻击者将恶意代码直接编码到 PNG 图像的像素数据中，通过特定的颜色通道来重建和解密隐藏在内存中的有效载荷。这种方法让恶意软件更难被发现，极大地增强了攻击的隐蔽性。

整个攻击过程相当复杂，涉及多个阶段。首先，攻击者利用 Windows 系统自带的 mshta.exe 程序执行恶意 JavaScript 代码。

随后，通过 PowerShell 代码和一个名为“Stego Loader”的 .NET 程序集，从加密的 PNG 文件中重建最终的恶意软件。

为了躲避安全软件的分析，攻击者还使用了一种名为“ctrampoline”的动态规避技术，即在程序入口点调用上万个空函数，干扰逆向工程分析。

研究人员早在 10 月就发现了利用 Windows 更新界面作为诱饵的 Rhadamanthys 恶意软件变种。值得庆幸的是，11 月 13 日代号为“Operation Endgame”的执法行动成功摧毁了其部分基础设施。Huntress 的报告证实，这次行动让托管虚假 Windows 更新页面的域名已无法成功投放恶意载荷。