微软指出，威胁行为者正在尝试一种不同的策略，诱使员工落入安装恶意软件的 ClickFix 网络钓鱼陷阱。

攻击者不再要求潜在受害者将（恶意）命令复制并粘贴到通过按“Windows 键 + R”启动的“运行”对话框中，而是指示他们使用 Windows + X → I 快捷键直接启动 Windows 终端（wt.exe）。

一旦终端打开，受害者会被提示粘贴通过伪造的 CAPTCHA 页面、故障排除提示或看似常规且无害的验证式诱饵传递的恶意 PowerShell 命令。

为什么要这样做？

采用这种路径可以规避那些专门监测异常“运行”命令的防御机制，并绕过告诉员工“不要执行任何调用‘运行’命令操作”的安全意识培训。

微软本周在 X 平台（原推特）上的一篇帖子中描述了这一策略，并指出该活动的显著之处在于其入侵后的结果。在一个案例中，攻击者打开了多个 Windows Terminal/PowerShell 实例，最终启动另一个 PowerShell 进程，负责解码嵌入的十六进制命令。

解码后的 PowerShell 脚本会下载一个合法但被重命名的 7-Zip 二进制文件，并将其保存为随机文件名，同时下载一个压缩的负载。这个被重命名的归档工具会解压并运行恶意软件，执行一个多阶段攻击链，包括：检索额外负载、通过计划任务建立持久化、通过微软 Defender 排除项进行防御规避，以及窃取机器和网络数据并外传。

在第二种攻击路径中，受害者将经过十六进制编码和 XOR 压缩的命令粘贴到 Windows 终端中。该命令会下载一个随机命名的批处理文件到 AppData\Local 目录，随后通过 cmd.exe 调用该文件，将 VBScript 写入 %Temp% 目录。该批处理脚本通过带有 /launched 命令行参数的 cmd.exe 执行，随后又通过 MSBuild.exe 再次执行，从而导致 LOLBin（白利用工具）滥用。该脚本连接到 Crypto Blockchain RPC 端点，表明使用了 Etherhide 技术，同时还基于 QueueUserAPC() 向 chrome.exe 和 msedge.exe 进程注入代码，以窃取网页和登录数据。

这真的是新手段吗？

然而，许多专家迅速在微软的帖子下评论称，这种 Windows + X 的策略并非新技术。

安全意识培训提供商 KnowBe4 的首席信息安全官（CISO）顾问 Roger Grimes 表示赞同。

“使用 Win+X 代替 Win+R 的 ClickFix 攻击至少已经存在六个月，甚至可能超过一年，”他在邮件中写道，“他们在执行过程中所做的事情也并无新意。”

尽管如此，他补充道，ClickFix 攻击的持续增加意味着信息安全领导者仍须就此对员工进行教育。

“我们早就有关于此类攻击的培训内容。用户需要知道，没有任何合法的操作会要求他们按 Win+ 某个键来粘贴乱码以运行代码。任何此类要求都绝不应被执行，”他说。

“此外，所有 Windows 计算机都应已受到限制，不允许运行随机的、未签名（非组织签名）的 PowerShell 命令。每个组织和每台计算机都应已启用以下 PowerShell 命令设置：Set-ExecutionPolicy Restricted -Force。如果没有，那么该组织的网络安全风险将远高于必要水平。”

“屡试不爽”的欺骗手段

Swimlane 的首席安全解决方案架构师 Joshua Roback 指出，微软提到的这次活动将 ClickFix 的攻击剧本推向了更受信任的日常 workflows，让用户在感觉例行且安全的合法 Windows 工具中运行粘贴的命令内容。他表示，这很重要，因为它避开了人们通常与可疑弹窗相关联的心理警示信号，同时也可能绕过安全团队针对更明显的 ClickFix 模式所调整的部分控制和检测机制。

他补充道，这次的手段比以往变种更具“持久性”。它不再是一次性的快速检索技巧，而是采用了更分层的交付和持久化方法，有助于其混入系统、停留更长时间，并在落地后悄悄升级破坏程度。其中一条路径增加了额外的间接层，帮助攻击者的基础设施混入流量并保持可达性，这使得简单的取缔和封锁措施效果大打折扣。

对于首席信息安全官（CISO）而言，他表示向员工传达的信息必须清晰：“遵循一个简单的经验法则：绝不运行粘贴的命令，绝不批准意外的登录请求，并通过官方公司支持渠道报告所有事件。”

ClickFix 的工作原理

微软去年在一篇详细描述了该活动战术和入侵指标的安全博客中指出，ClickFix 网络钓鱼活动始于 2024 年。攻击开始时，员工会被要求在电子邮件或短信中点击链接或打开附件，主题通常涉及付款或发票。为了规避旨在阻止员工下载未经批准文件的防御机制，弹窗会指示用户通过打开“运行”对话框并复制粘贴某些内容来“验证下载”。

其目的是让不知情的受害者下载恶意软件，例如信息窃取器（通常是 LummaStealer）、远程访问工具（如 Xworm、AsyncRAT、NetSupport 和 SectopRAT）、加载器（如 Latrodectus 和 MintsLoader）以及 Rootkit。

在该博客中，微软为防御者提供了对抗 ClickFix 攻击的建议，包括建议启用 PowerShell 脚本块日志记录（script block logging），以检测和分析混淆或编码的命令。这将提供对恶意脚本执行的可见性，否则这些执行可能会逃避传统日志记录的监测。