当前位置：首页 > news >正文

ClickFix攻击活动升级：可通过虚假谷歌会议画面传播恶意软件

news 2025/11/9 9:52:32

1729215679_6711bcbf7f3bf967b05bc.png!small?1729215680613

最近，研究人员报告了一种新的 ClickFix 攻击活动，主要通过诱骗用户访问显示虚假连接错误的欺诈性谷歌会议的页面，继而借此传播信息窃取恶意软件，主要针对 Windows 和 macOS 操作系统。

ClickFix是网络安全公司Proofpoint在5月份首次报告的一种社交工程战术，它来自一个威胁行为TA571，该行为者使用了冒充谷歌浏览器、微软Word和OneDrive错误的信息。

这些错误提示受害者将一段 PowerShell 代码复制到剪贴板，在 Windows 命令提示符中运行该代码即可解决问题。

1729215695_6711bccfafc3eef268763.png!small?1729215696778

因此，受害者的系统会感染各种恶意软件，如 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和 Lumma Stealer。

今年 7 月，McAfee 报告称，ClickFix 攻击活动变得越来越频繁，尤其是在美国和日本。

SaaS 网络安全提供商 Sekoia 的一份新报告指出，ClickFix 攻击活动现已升级，开始使用谷歌会议引诱、针对运输和物流公司的钓鱼电子邮件、伪造的 Facebook 页面和欺骗性的 GitHub 问题。

1729215709_6711bcdd165baac468ead.png!small?1729215711032

ClickFix 发展大事记，资料来源 Sekoia

据这家法国网络安全公司称，最近的一些活动是由两个威胁组织 “斯拉夫民族帝国（SNE）”和 “Scamquerteo ”发起的，它们被认为是加密货币诈骗团伙 “Marko Polo ”和 “CryptoLove ”的分队。

1729215738_6711bcfa923d7a9fea9e2.png!small?1729215739721

近期活动中使用的各种鱼饵，来源：Sekoia

谷歌会议“陷阱”

谷歌会议是 Google Workspace 套件中的视频通信服务，在企业虚拟会议、网络研讨会和在线协作环境中很受欢迎。

攻击者会向受害者发送看似与工作会议/大会或其他重要活动相关的合法谷歌会议邀请函的电子邮件。

URL 与实际的谷歌会议链接非常相似：

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

一旦受害者进入这个虚假的页面，他们就会收到一条弹出消息，告知出现了技术问题，如麦克风或耳机问题。

如果他们点击 “尝试修复”，一个标准的 ClickFix 感染过程就会开始，网站复制并粘贴到 Windows 提示符上的 PowerShell 代码会用恶意软件感染他们的计算机，并从 “googiedrivers[.]com ”域获取有效载荷。

在 Windows 上，最终有效载荷是窃取信息的恶意软件 Stealc 或 Rhadamanthys。在 macOS 机器上，威胁行为者将 AMOS 窃取程序作为名为 “Launcher_v194 ”的 .DMG （苹果磁盘映像）文件投放。

除了谷歌会议之外，Sekoia 还发现了其他几个恶意软件分发集群，包括 Zoom、PDF 阅读器、虚假视频游戏（Lunacy、Calipso、Battleforge、Ragon）、web3 浏览器和项目（NGT Studio）以及信使应用程序（Nortex）。

参考来源：Fake Google Meet conference errors push infostealing malware (bleepingcomputer.com)

ClickFix攻击活动升级：可通过虚假谷歌会议画面传播恶意软件

谷歌会议“陷阱”

相关文章：

ClickFix攻击活动升级：可通过虚假谷歌会议画面传播恶意软件

迷茫！能走出迷茫？

6.2 遍历重定位表

面对服务器掉包的时刻困扰，如何更好的解决

RTSP流图片采样助手（yolov5）

MySQL、MariaDB、OceanBase远程异地定时备份脚本

【远程监控新体验】OpenObserve结合内网穿透无公网IP远程访问全攻略

深度学习：异常检测（Anomaly Detection）详解

智慧公厕系统提升公共服务满意度

幼儿和青少年编程学习路径

leetcode48:旋转矩阵

安装CentOS 8镜像和创建CentOS 8虚拟机教程

针对考研的C语言学习（二叉树专题）

【ARM 嵌入式编译系列 10.9 -- Clang 编译器】

《深度学习》【项目】自然语言处理——情感分析＜上＞

RU19.25 Standalone (GI和DB分开打）

探索 Jupyter 核心：nbformat 库的神秘力量

python+大数据+基于spark的短视频推荐系统【内含源码+文档+部署教程】

Elasticsearch字段数据类型

简述RESTFul风格的API接口

铭豹扩展坞 USB转网口突然无法识别解决方法

第25节 Node.js 断言测试

如何理解 IP 数据报中的 TTL？

python报错No module named ‘tensorflow.keras‘

音视频——I2S 协议详解

LLMs 系列实操科普（1）

基于Springboot+Vue的办公管理系统

Chromium 136 编译指南 Windows篇：depot_tools 配置与源码获取（二）

CVPR2025重磅突破：AnomalyAny框架实现单样本生成逼真异常数据，破解视觉检测瓶颈！

HTML前端开发：JavaScript 获取元素方法详解