文章总结： 黑客利用ClickFix结合隐写术发起新型攻击，将恶意代码藏于PNG图像红色通道，诱导用户执行PowerShell命令植入LummaC2等窃密软件。建议加强员工培训识别伪造更新，并禁用系统运行窗口以阻断关键攻击路径。 综合评分： 86 文章分类： 威胁情报,恶意软件,社会工程学

黑客利用ClickFix新手法，图像藏毒窃取用户信息

看雪学苑

看雪学苑

2025年12月23日 17:59 上海

2025年10月，安全研究机构Huntress披露了一起新型网络攻击事件：黑客通过融合”ClickFix”社会工程诱骗与高级隐写术，将恶意软件隐藏在PNG图像文件中，成功绕过传统安全检测，向用户系统植入信息窃取程序。这一技术升级标志着网络犯罪手段向更隐蔽、更具欺骗性的方向发展。

多阶段攻击链：从虚假提示到手动执行

攻击始于精心设计的钓鱼页面，早期版本伪装成”人机验证”界面，近期升级为全屏模拟Windows更新的界面，包含”正在更新”的动态效果。页面诱导用户通过快捷键Win+R打开运行窗口，并粘贴自动复制到剪贴板的命令。该命令触发mshta.exe进程，调用含十六进制编码IP地址的脚本，进而启动PowerShell加载器。

像素级隐写：红色通道暗藏玄机

核心创新在于恶意载荷的隐藏方式。攻击者开发定制算法，将加密的shellcode直接编码至PNG图像的像素数据中，而非传统附加文件形式。解码过程聚焦红色通道（R值）：系统读取图像原始像素矩阵后，通过行列偏移计算定位数据块，将每个红色通道值与114进行异或运算，还原出加密的shellcode字节流。

动态加载与多重混淆

提取的shellcode经Donut工具打包后，可在内存中直接执行.NET程序集。该程序集作为隐写加载器，从嵌入的加密PNG资源中提取有效载荷。Huntress分析显示，最终投放的恶意软件包括LummaC2和Rhadamanthys两款信息窃取程序，可盗取用户凭证、金融数据等敏感信息。

攻防博弈：检测难度与防御建议

这种”像素隐写”技术显著提升了分析难度：恶意代码完全隐藏于图像数据中，绕过基于文件特征的检测机制。尽管攻击仍依赖社会工程诱导用户手动执行命令，但其技术复杂度已达新高度。

安全专家建议企业采取双重防御措施：首先加强员工安全意识培训，重点识别伪造系统更新等钓鱼场景；其次通过组策略或注册表修改禁用Windows运行窗口（HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisableRun），阻断攻击关键执行路径。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《黑客利用ClickFix新手法，图像藏毒窃取用户信息》