CAPTCHA 叫你貼指令入 PowerShell?Sandworm 都用嘅 ClickFix 騙局拆解
Tech News

CAPTCHA 叫你貼指令入 PowerShell?Sandworm 都用嘅 ClickFix 騙局拆解

圖片:via Ars Technica — https://arstechnica.com/security/2026/07/now-even-russias-most-elite-hackers-are-using-clickfix-to-infect-devices/
TechLab 編輯部(譯)·

假驗證頁靠你親手開門,中招後要即刻斷網同通知公司 IT

俄羅斯國家級黑客都開始用一招常見網上騙術:整個假 CAPTCHA,再氹你親手喺自己部電腦執行惡意指令。據烏克蘭電腦緊急應變小組 CERT-UA 公布,佢哋追蹤嘅 UAC-0145(亦即 Sandworm/APT44)由今年春季至夏季用 ClickFix 攻擊烏克蘭敏感機構,調查發現 10 個遭入侵網站,至少一個機構網絡有裝置感染 Sandworm 自製惡意程式 FreakyPoll。呢批攻擊嘅目標喺烏克蘭,冇資料顯示同一輪行動波及香港。

CAPTCHA 唔會叫你開 PowerShell

拆穿 ClickFix,其實記一條線已經夠:正常 CAPTCHA 唔會叫你撳 Win+R、開 Windows Terminal 或 PowerShell,更唔會叫你貼入一段指令。 真正 CAPTCHA 只會叫你剔格、揀圖片、輸入畫面文字,或者直接喺瀏覽器完成驗證。只要步驟突然離開瀏覽器,要求你操作 Windows 系統工具,唔使研究段字寫緊咩,閂頁再向公司 IT 報告就得。

攻擊流程通常由釣魚電郵、網上廣告、假服務頁,或者一個本身真實但已遭入侵嘅網站開始。頁面會扮 Google reCAPTCHA、Cloudflare 驗證、Microsoft 服務,甚至扮瀏覽器或文件出錯。你撳「Verify」之後,網頁程式會暗中將一段指令寫入剪貼簿,再教你撳 Win+R、貼上同按 Enter。畫面寫住「驗證碼」,剪貼簿入面嗰段嘢其實可以叫 PowerShell 下載下一階段惡意程式。

點解防毒軟件未必第一時間截到

ClickFix 高明之處係將最關鍵嗰一下交畀用戶做。瀏覽器冇直接利用 Windows 漏洞,反而係用戶自己開系統工具,再執行網頁擺落剪貼簿嗰段內容。指令仲可以借用 PowerShell、mshta、curl、rundll32 呢類 Windows 原生工具下載或啟動 payload,表面睇落未必似一個傳統可疑安裝檔。Microsoft 話,2025 年初即使裝置已有 EDR,每月仍觀察到數以千計裝置有人實際執行 ClickFix 指令。

今次 Sandworm 用法亦反映一個幾實際嘅趨勢:呢招成本低、成功率夠高,所以早已唔限於盜密碼嘅犯罪集團。CERT-UA 將 FreakyPoll、GHETTOVIBE 同 SCOUTCURL 等惡意程式活動連到 UAC-0145;不過相關名稱、10 個受感染網站同至少一個機構失守嘅數字,都係 CERT-UA 對呢次烏克蘭行動嘅調查結果,唔應該推論成全球所有 ClickFix 個案都由 Sandworm 操控。

貼咗再按 Enter,要即刻點做

如果只係見到頁面,但冇貼指令執行,直接閂頁、清走剪貼簿內容,再向網站或公司 IT 報告。如果已經按咗 Enter,就當部機可能失守:即刻拔走網線、關 Wi-Fi 同 Bluetooth,但唔好自行亂刪檔案或繼續登入帳戶。 公司機要用另一部可信裝置聯絡 IT 或保安團隊;個人電腦就更新 Defender 定義後做完整掃描,重要帳戶密碼亦應該用另一部乾淨裝置更改,再檢查登入紀錄,同埋登出可疑工作階段。

原因係執行後下載咗咩,單靠肉眼通常答唔到。惡意程式可能偷瀏覽器 cookie、密碼同公司資料,亦可能加排程工作或啟動項,等重新開機後繼續運行。即刻斷網可以截停部分資料外傳同後續下載,但就算掃描話冇威脅,都唔代表部機一定冇事;公司 IT 應保留時間、網址、畫面截圖同使用者做過嘅步驟,再按端點紀錄決定隔離、清理抑或重灌。

公司 IT 可以點截同點查

辦公室環境可以先問一個簡單問題:一般員工日常使唔使用 Win+R、PowerShell、mshta 或 wscript?如果唔使,Microsoft 建議經 Group Policy 收起 Run 對話框,再用 AppLocker 或 Windows Defender Application Control 限制腳本同高風險原生工具。PowerShell Script Block Logging、Defender 網絡保護、SmartScreen 同針對混淆腳本嘅 Attack Surface Reduction 規則,亦可以補返電郵過濾同 EDR 中間嘅空位。

調查方面,Windows Run 對話框會喺 RunMRU Registry 留低近期執行紀錄。保安團隊可以查有冇 PowerShell、mshta、rundll32、wscript、curl 或 wget,再配合 process tree、DNS、網絡連線、PowerShell log、Temp/AppData 新檔案同可疑 scheduled task 判斷影響。最值得教員工嘅句子仍然好短:任何網頁叫你貼指令入系統工具,都應該停手兼報告。 呢條規矩應付到假 CAPTCHA、假更新、假文件修復同下一款改名騙局。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook