ClickFix 是近期快速擴散的新型社交工程攻擊手法,駭客透過假修復畫面誘導受害者執行惡意指令,進一步散布惡意程式並竊取敏感資料。
近年來廣泛出現在竊資軟體與遠端存取木馬(RAT)攻擊中的 ClickFix 社交工程手法,如今開始被金融詐欺集團大量利用。資安研究指出,攻擊者透過偽造驗證頁面誘騙使用者自行執行惡意指令,進一步植入金融惡意程式,竊取網路銀行與金融交易資訊。
資安業者 Elastic 旗下威脅研究團隊近日揭露一項代號 REF6045 的攻擊行動,指出攻擊者鎖定墨西哥金融服務使用者,透過 ClickFix 手法散布 SCMBANKER 惡意工具包,企圖攔截受害者的金融交易。
ClickFix 最大特點 在於讓使用者自己執行惡意程式
與利用漏洞入侵系統不同,此攻擊手法 屬於典型的社交工程攻擊。
攻擊者通常會建立一個看似正常的網站,內容可能是假 CAPTCHA 驗證、人機驗證、影片播放驗證,甚至是假冒瀏覽器錯誤、Windows 更新或安全性檢查畫面,誘導使用者完成所謂的「修復步驟」。
研究人員指出,在此次攻擊中,受害者會被要求將一段 PowerShell 或命令列指令複製到 Windows 的「執行(Run)」視窗中執行。
由於整個操作是由使用者親自完成,因此不少防護機制難以直接判定為惡意行為,也讓此攻擊手法成為近期攻擊者相當偏好的社交工程手法。
近幾個月,ClickFix 已被多個駭客組織用來散布資訊竊取程式(Infostealer)、遠端存取木馬(RAT),如今更開始被金融惡意程式採用,顯示這種攻擊方式正持續擴大。
SCMBANKER 專門鎖定金融交易活動
當受害者執行惡意指令後,系統會先跳出假的 Windows 更新畫面,藉此降低警覺。
同時,攻擊程式會利用 Windows 內建的 bitsadmin 工具下載 SCMBANKER 元件,再透過登錄機碼(Run Key)及 Startup Folder 建立開機自動執行機制,使惡意程式即使重新開機後仍能持續運作。
完成植入後,SCMBANKER 並不會立即發動攻擊,而是持續監控使用者的操作。
當系統偵測到受害者開啟網路銀行、電子支付或其他金融服務網站時,惡意程式便會開始啟用攻擊功能,包括:
- 擷取螢幕畫面
- 監控瀏覽器操作
- 修改剪貼簿內容
- 將使用者重新導向至釣魚網站
- 偷偷替換轉帳帳號資訊
攻擊者可藉此竊取登入憑證,甚至在使用者毫無察覺的情況下竄改交易資訊,導致資金被轉入指定帳戶。
為什麼金融木馬仍然具有威脅性?
雖然近年勒索軟體與資料竊取攻擊備受關注,但金融木馬始終沒有消失。
原因在於,攻擊者若能成功控制金融交易流程,往往能直接獲利,不需要等待企業支付贖金,也不需要販售外流資料。
再加上網路銀行、電子支付及加密貨幣服務日益普及,使金融相關惡意程式重新受到犯罪集團重視。
而此攻擊手法的出現,更讓攻擊者不必依賴系統漏洞,只要成功欺騙使用者自行執行指令,就有機會完成感染,大幅提高攻擊成功率。
企業應留意異常腳本與社交工程攻擊
Elastic 建議,企業除了持續更新端點防護外,也應監控系統是否出現異常的 PowerShell 指令執行、bitsadmin 下載行為、不明程序啟動,以及登錄機碼遭異常修改等情況。
此外,企業也應持續加強員工資安意識教育,提醒使用者不要依照陌生網站指示,在 Windows 的「執行」視窗貼上或執行任何 PowerShell、cmd 或其他未知命令。
隨著此攻擊手法持續被不同惡意程式家族採用,社交工程已逐漸成為金融攻擊的重要環節。未來企業除了防範漏洞利用外,更應提升使用者對假驗證畫面、假更新通知及異常操作指示的警覺,才能有效降低遭受攻擊的風險。
參考來源 : https://www.ithome.com.tw/news/177227
延伸閱讀 / 參考資料
Bitdefender Official Blog
Accept All Cookies? ICO Prompts Top UK Websites to Make It Clear What Data They Collect from Users
Bitdefender Releases 2025 Consumer Cybersecurity Survey
了解更多我們提供的服務
Share via:








