返回

文章详情

现在,甚至俄罗斯最精英的黑客也在使用 Clickfix 来感染设备

Ars Technica2026年7月16日 19:28

俄罗斯政府最精英的黑客团体之一已经开始使用一种攻击方式,称为 Clickfix,以侵入乌克兰敏感组织的设备,后者国家的CERT中心对此表示警告。Clickfix 已成为一种有效的攻击技术,攻击者,主要是经济动机的犯罪分子,自去年以来开始使用这种技术。攻击者控制的网站显示一个验证码,要求访问者复制一段混乱的文本并粘贴到终端中。这段文本包含脚本,一旦输入,就会执行恶意操作,通常是通过安装恶意软件或提取敏感数据。乌克兰的CERT在周三表示,GRU(俄罗斯军事情报机构)内部的一个高级黑客单位 Sandworm 现在正在使用该技术。"GhettoVibe"、"ScoutCurl",以及更多 Clickfix 攻击始于春季,并持续到夏季。这项活动导致至少一个组织的网络被破坏,当时发现一个连接设备被 Sandworm 的自定义恶意软件包 FreakyPoll 感染。乌克兰当局发现 10 个被攻陷的网站,这些网站显示一个 PowerShell 命令,作为虚假的验证码,声称必须通过验证以确保访问设备的用户是真人。一旦用户输入该脚本,就可能安装恶意的 Visual Basic 脚本和其他恶意程序,而这些程序又会安装各种 Sandworm 恶意软件。通常,首先运行的恶意软件是一种侦察程序,它从感染的设备收集信息。被视为重要的机器随后会收到后续的恶意软件,使系统后门。“该命令,例如,可以用于在启动目录中加载和保存 VBS 文件,”周二通告的翻译版本中表示。“这种程序的一种变体被称为 GHETTOVIBE。在下一阶段,为了确定网络攻击对象的重要性,可以将 SCOUTCURL 软件工具加载到被攻击的计算机上,该工具是一个 PowerShell 脚本,通过收集和提取计算机的基本特征、程序、文件、互联网浏览器数据等进行基本侦察。

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡