您是否曾想过
一次简单的"复制+粘贴"操作
竟可能让企业核心数据瞬间陷入勒索危机?
近期,亚信安全服务团队在一线应急响应中发现,Interlock勒索组织正在大规模使用一种钓鱼攻击手段——ClickFix。这种攻击手法毫无技术含量,杀伤效果却出人意料,已成为当前勒索攻击的"最优选入口"。
什么是ClickFix攻击?
ClickFix是一种"社交工程+无文件执行"的混合攻击方式。攻击者通过精心伪装的钓鱼页面,诱骗用户手动复制恶意命令行(通常是PowerShell脚本),然后粘贴到Windows系统的"运行"窗口(Win+R),按下回车后,恶意代码立即在内存中执行。
与传统攻击相比,ClickFix有三大致命特点:
无文件落地:恶意代码全程在内存中运行,不向硬盘写入任何文件,轻松绕过传统杀毒软件检测;
操作极简:仅需"复制+粘贴+回车"三步,10秒内即可完成入侵;
伪装性强:包装成"安全验证"、"系统修复"、"工具激活"等日常工作场景,难以识别。
攻击四步陷阱:您的企业可能正在"裸奔"
通过对真实攻击案例的分析,我们还原了ClickFix钓鱼的完整攻击链:
投放诱饵,诱导点击
攻击者会伪造各类合法网页,比如常用工具下载站、官方系统验证页、职场常用软件的激活页面等,通过网页搜索、内部聊天转发、伪装邮件链接等方式,诱导非技术人员点击进入。
伪装迷惑,制造紧迫感
用户点击链接后,网页会弹出虚假提示,最常见的就是仿冒“Cloudflare安全验证”“系统异常检测”“工具未激活无法使用”等内容,营造“必须完成操作才能继续使用”的紧迫感,让用户主动配合后续步骤。
第三步
核心陷阱,诱导执行命令
这是最关键的一步——网页会明确引导用户“按下Win+R打开运行窗口,复制下方命令粘贴,回车即可完成验证/修复/激活”。而这些命令往往是冗长、复杂的PowerShell脚本,大多数非技术人员无法分辨其恶意,很容易按照提示操作。
第四步
入侵闭环,潜伏待发
用户按下回车后,恶意脚本会在后台悄悄执行,无需落地任何文件,就能快速植入远程控制程序(RAT)。此时,攻击者已经获取了系统控制权,后续会逐步窃取系统凭据、横向渗透内网,最终加密文件、索要赎金,完成勒索闭环。
这种方式可以不在磁盘上落地生成任何文件,属于典型的无文件(Fileless)恶意执行行为,通过管道将远程代码直接在内存中加载运行,静态查杀、文件监控难以发现。
攻击正在快速进化,防御体系频频失效
具微软《2025 数字防御报告》(2025 年 10 月发布,覆盖 2024 年 7 月 —2025 年 6 月全球威胁数据,基于每日处理的 100 万亿条安全信号、50 亿封邮件筛查数据)显示:
ClickFix 已成为全球最常见的初始入侵方式,占所有初始攻击手段的47%,是网络犯罪分子与国家级威胁行为体首选的社会工程学攻击手法;
2025 年相关攻击活动同比增长超 500%,呈现爆发式增长态势;
在超半数恶意软件加载活动中均检测到 ClickFix 的踪迹,其已成为恶意软件传播的核心载体之一。
据亚信安全专家分析,Windows平台和MacOS平台具备以下攻击特点:
Windows平台攻击特点:
早期形态:通过钓鱼页面诱导用户在Win+R“运行”对话框执行简单PowerShell命令
2025年演进:出现JackFix、CrashFix等变体,结合流量分发系统实现多载体投递
2026年初突破:与微软可信组件(SyncAppvPublishingServer.vbs)深度结合,利用Google日历、公共图床等可信服务
最新变种:使用net use命令映射网络驱动器,执行批处理文件,下载被修改的WorkFlowy应用
MacOS平台攻击演进:
传统方式:诱导用户打开“终端”工具,粘贴恶意命令执行
苹果防护:MacOS 26.4更新引入粘贴命令扫描机制
攻击绕过:放弃终端,转而利用系统自带的脚本编辑器作为突破口
新路径:构建伪装成苹果官方风格的恶意网页,谎称用户Mac存储空间不足,诱导点击触发applescript://URL协议
载荷:下载Atomic Stealer变种,专门窃取系统敏感数据
为何传统防御失效?
无文件落地:规避所有基于文件特征的扫描检测
滥用白名单:利用微软签名脚本、Google日历等可信应用绕过策略控制
用户主动触发:恶意行为由员工"合法"发起,EDR难以设定有效基线
基础设施隐蔽化:使用主流CDN、云存储服务,域名IP信誉良好
实战案例:高度仿真的钓鱼伪装
为了让大家更直观地识别ClickFix钓鱼陷阱,精准避开每一步诱导,我们整理了几款典型ClickFix钓鱼场景演示图,结合图片细节,帮大家快速识破攻击者的伪装套路。
以下演示图对应ClickFix钓鱼的关键环节,大家可对照图片特征,在日常工作中快速识别可疑场景,避免中招:
通过以上演示图,大家可以清晰看到ClickFix钓鱼的完整伪装逻辑——从仿冒网页到诱导命令,每一步都贴合日常工作场景,极具迷惑性。牢记这些图片特征,能帮助我们在第一时间识别陷阱,拒绝被攻击者利用。
同类型的其他ClickFix类型钓鱼页面:
模仿谷歌reCAPTCHA验证
模仿Cloudflare验证
企业防御:3步避坑法,守住ClickFix钓鱼防线
ClickFix钓鱼的核心危害,在于它利用了用户“主动执行命令”的操作,将入侵源头变成从边界网络的突破转嫁到对人的突破。面对ClickFix威胁,企业需要建立全新的防御思路:
安全红线:3步避坑法
坚决拒绝“盲目复制”:凡是要求“复制命令粘贴到运行窗口”“Win+R执行代码”的网页、弹窗,无论伪装得多么逼真,一律直接关闭,绝不执行任何陌生命令;
警惕“虚假伪装”:遇到“安全验证”“系统修复”“工具激活”等弹窗时,先核实来源——官方正规验证不会要求用户执行陌生命令行,若有疑问,可联系IT部门或安全服务部确认;
及时上报异常:一旦遇到诱导执行命令、可疑网页弹窗、不明来源的链接,第一时间截图留存,上报安全服务部,避免风险扩散,同时提醒身边同事注意防范。
亚信安全勒索风险排查服务
应对新兴威胁的专业武器
面对ClickFix等融合了高级社工与技术伪装的威胁,仅依靠安全产品堆砌或基础培训已远远不够。亚信安全服务部推出的 "勒索风险排查服务" ,通过专业、深度的前置介入,帮助企业量化风险、补齐短板,实现从"被动救火"到"主动免疫"的转变。
服务核心价值:
从被动救火到主动免疫体系化排查
精准检测高级威胁:基于800+勒索家族特征库和实战经验,可深度检测攻击痕迹、无文件驻留、隐蔽C2通信等高级威胁。
体系化风险排查:围绕“人、技术、管理”三大要素,贯穿勒索入侵6个阶段,对“云、网、边、端、人、体系”共计百余项进行地毯式核查。
提供可落地方案:不仅发现问题,更提供针对性、可操作的技术加固与管理提升方案。
我们的核心优势
专业:千余次/年勒索攻击应急实战经验积累了大量一线对抗经验;
权威:国家级应急支持单位、30年病毒防护基因、多年SL检查工作;持续运营的威胁情报体系,能及时捕获银狐等攻击的最新变种;
领先:九大实验室持续研发,拥有数十款自主知识产权的专业安全服务工具,保障服务效率与深度。
真实案例警示:业务中断的惨痛代价
大型集团案例:某大型集团公司海外子公司,因暴露面存在高危弱点,核心业务系统与客户数据被加密,导致当地业务中断超过72小时。不仅面临严厉的合规问责、高额罚款,还需支付客户赔偿及数据恢复费用。
制造行业案例:某制造企业遭银狐攻击,客户信息、生产工艺、财务等核心数据被盗取并在暗网标价售卖,引发客户恐慌与合作解约,企业面临监管处罚,核心技术优势受损,运营与品牌商誉遭受严重冲击。
专业安全服务是数字化转型的"必备保险"
ClickFix攻击年增长超500%的数据表明,网络威胁的进化速度已远超大多数企业防御能力的建设速度。当攻击者开始系统化利用社会工程、系统信任和云服务时,单纯的技术产品堆砌和合规检查已无法提供足够安全保障。
关键洞察:在ClickFix为代表的无文件攻击时代,安全防护的竞争是经验、情报与响应速度的竞争。选择亚信安全服务部的专业服务,不仅是购买一次评估或演练,更是为企业业务连续性购置一份关键保险,将我们积累的千余次实战经验、前沿威胁情报和系统化方法论,转化为可感知的风险降级与整体安全防护的提升。
我们希望本文不仅能提升您对ClickFix等新型威胁的认知,更能让您充分了解亚信安全勒索风险排查服务的独特价值。
关于亚信安全服务部
新兴风险应对专家-勒索治理与应急首选伙伴
亚信安全服务部是专注新兴风险应对、深耕专业攻防、勒索治理与应急响应的专家型团队,拥有年均干余次勒索应急与攻防实战经验,深度研究800余个勒索家族,兼具国家级应急支持单位的权威积淀,以及三十余年病毒技术研究的传承。
热门跟贴