HackerNews 编译，转载请注明出处：

据 Sophos 研究人员称，ClickFix 攻击活动正在演变，攻击者越来越多地将目标对准 macOS 用户，并部署更高级的信息窃取程序。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员正警惕一项新型攻击活动：该活动结合 ClickFix 诱饵与伪造成人网站，以 “紧急” Windows 安全更新为幌子，诱骗用户执行恶意命令。

“攻击者将仿冒 xHamster、PornHub 等平台的虚假成人网站作为钓鱼载体，可能通过恶意广告（malvertising）进行分发，” 安克诺斯（Acronis）在分享给《黑客新闻》（The Hacker News）的最新报告中指出，“成人主题本身及与不良网站的潜在关联，会加剧受害者的心理压力，使其更容易遵从突然弹出的‘安全更新’安装要求。”

过去一年，ClickFix 类攻击呈激增态势。这类攻击通常通过伪装技术修复提示或验证码验证流程，诱骗用户在自身设备上执行恶意命令。微软数据显示，ClickFix 已成为最常见的初始入侵手段，占所有攻击事件的 47%。

这项最新攻击活动采用极具迷惑性的虚假 Windows 更新界面，试图诱导受害者运行恶意代码，标志着攻击者正脱离传统的 “机器人验证” 诱饵模式。新加坡网络安全公司安克诺斯将该活动代号命名为 JackFix。

此次攻击最值得警惕的一点是：虚假 Windows 更新弹窗会劫持整个屏幕，指示受害者打开 Windows 运行对话框（Run dialog），按下 Ctrl+V 粘贴命令并回车，进而触发感染流程。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员近日披露了一场针对酒店业的大规模钓鱼攻击活动。攻击者通过仿冒Booking.com的钓鱼邮件，诱骗酒店经理点击伪造的验证页面，进而部署名为PureRAT的远程访问木马。

据法国安全公司Sekoia分析，该活动至少自2025年4月持续至10月初。攻击者首先入侵合法邮箱账户，向多家酒店发送精心伪造的邮件，将受害者引导至伪装成reCAPTCHA验证的ClickFix社交工程页面。该页面通过复杂重定向机制，最终诱使用户执行恶意PowerShell命令。

攻击链最终下载的ZIP压缩包内含通过DLL旁加载技术激活的PureRAT恶意软件。这款模块化木马具备键盘记录、远程控制、摄像头捕获、文件窃取等全方位监控功能，并通过.NET Reactor进行混淆保护，还通过注册表实现持久化驻留。

更严重的是，攻击得手后，犯罪分子会利用窃取的酒店预订平台账户，通过WhatsApp或邮件联系真实客户，以"确认预订信息"为名诱导其进入仿冒的Booking.com或Expedia页面，进而窃取银行卡信息。

调查发现，犯罪团伙从LolzTeam等黑客论坛购买Booking.com管理员账户信息，甚至按利润分成招募分销专家。Sekoia观察到专门用于交易预订平台日志的Telegram机器人，以及提供人工验号服务的黑产供应商。

值得注意的是，ClickFix攻击页面近期持续升级，新增嵌入式视频、倒计时器和"近期验证用户"计数器等元素，还能根据受害者操作系统自动显示对应指令，并采用剪贴板劫持技术自动复制恶意代码。

Push安全公司警告称："ClickFix页面正变得日益精密，有效提升了社交工程攻击的成功率。其攻击载荷不仅更加多样，还不断演化出规避安全检测的新手法。"

...

HackerNews 编译，转载请注明出处：

安全研究人员发现新型ClickFix攻击活动正同时针对Windows和Linux系统，利用可跨操作系统感染的指令展开攻击。

...

HackerNews 编译，转载请注明出处：

据Sekoia报道，臭名昭著的朝鲜 Lazarus 黑客组织已采用“ClickFix”战术，针对加密货币行业的求职者部署恶意软件，尤其是集中化金融（CeFi）领域。

...

HackerNews 编译，转载请注明出处：

2025年2月11日，网络安全公司eSentire发布报告称，网络攻击者正在利用一种名为“ClickFix”的技术，部署名为NetSupport RAT的远程访问木马。

...