前言概述

Click Fix攻击是一种复杂的社会工程形式，利用真实性的外表来操纵用户执行恶意脚本，自2024年初首次出现以来，这种策略已导致多起恶意软件分发活动，涉及受感染的网站、恶意分发基础设施和电子邮件网络钓鱼。

最近一段时间Click Fix/Fake CAPTCHA攻击活动非常频繁，笔者对最新的一例Click Fix攻击活动的最新攻击链案例进行了详细分析，分享出来供大家参考学习，省略了高级样本的逆向分析过程，对这部分感兴趣的，可以自行调试分析研究一下，如果实在分析不出来，搞不定的时候，再来找笔者交流沟通吧，最近这类高级样本非常流行，全球的客户应该已经遇到了不少这样的攻击样本，很值得深入的分析研究一下。

1.访问钓鱼网站，如下所示：

[出自:jiwo.org]

2.点击验证按钮之后，如下所示：

3.按照上面的提示信息，执行相关的操作，如下所示：

4.执行上面的恶意脚本，恶意脚本会从远程服务器上下载高级恶意样本，如下所示：

5.下载的高级恶意样本，使用NET语言编写，NET Reactor加壳保护，如下所示：

6.动态调试，获取到核心的PayLoad，如下所示：

7.核心PayLoad的编译时间为2025年2月7日，最新编译的攻击样本，如下所示：

8.通过分析该PayLoad为一款窃密木马家族，里面包含各种流程混淆加密处置，如下所示：

9.采用了DGA算法，生成远程服务器C2，如下所示：

其他分析过程省略，该样本分析调试有点意思，最近也非常流行，有兴趣的朋友自己去研究一下。

对DGA解析出来的C2域名进行查询，在国内几家大安全厂家威胁情报平台均未标记。

总结结尾

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在，防不胜防，很多系统可能已经被感染了各种恶意软件，全球各地每天都在发生各种恶意软件攻击活动，黑客组织一直在持续更新自己的攻击样本以及攻击技术，不断有企业被攻击，这些黑客组织从来没有停止过攻击活动，非常活跃，新的恶意软件层出不穷，旧的恶意软件又不断更新，需要时刻警惕，可能一不小心就被安装了某个恶意软件。

对高级恶意软件分析和研究感兴趣的，可以加入笔者的全球安全分析与研究专业群，一起共同分析和研究全球流行恶意软件家族，笔者今年打算深度跟踪分析一些全球最顶级的TOP恶意软件家族，这些恶意软件家族都是全球最流行的，也是黑客攻击活动中最常见的恶意软件家族，被广泛应用到各种勒索攻击、黑灰产攻击、APT窃密攻击活动当中以达到攻击目的。