ClickFix网络钓鱼出现新变种JackFix，假借Windows更新名义引诱用户上当

要求用户依照屏幕指示操作，复制命令并粘贴执行的网络钓鱼攻击手法ClickFix，后续出现流程完全在浏览器进行的变形手法FileFix，如今有歹徒结合覆盖屏幕画面的手法，试图逼迫受害者乖乖就范。

安全企业Acronis披露一种新形态的ClickFix攻击活动，歹徒设置假的成人网站引诱用户上当，然后结合假的Windows更新画面覆盖整个屏幕，要求他们依照指示完成“重大安全更新”。假更新的画面几可乱真，不仅具备完善的动画内容，并显示即时的进度百分比，唯一的差别，是要求用户必须依照特定的步骤操作，才能真正完成更新。这种新形态的攻击手法，Acronis称作JackFix。

虽然假更新画面与Windows 10采用相同的背景颜色，也有正在执行更新的转圈圈动画，但对于较为熟悉正牌更新画面的用户来说，正常的更新流程都是自动进行，过程中无需用户额外介入操作，黑客加上的指示完成安装步骤，显得相关怪异；再者，就是网站提示用户缺少特定组件，而影响网站呈现，通常也是及时安装特定的组件（如现已停用的Flash），不会要求用户执行系统更新。但为何黑客搬出覆盖屏幕的Windows更新画面能够让受害者就范？原因就在于他们看上用户访问成人网站的预期心理：通常这种网站较不安全，可能会被埋入病毒或恶意程序，此时计算机显示安装相关更新的消息，最好还是乖乖照做，而落入黑客的诡计。

有别于大部分的ClickFix活动，攻击者主要通过钓鱼邮件接触受害者，引诱他们访问ClickFix网站，JackFix并未依循这样的攻击途径，用户先访问攻击者的网站并进行互动，这些网站才会产生Windows更新的覆盖画面，迫使受害者必须依照指示操作。换言之，攻击者无需事先制造危机感或催促用户尽快处理，就能得逞。

不过，黑客还是要让用户知道有这些假成人网站，他们才会掉入陷阱。因此Acronis推测，攻击者接触受害者的主要手法，应该是通过销售情趣用品或非法用品的网站恶意广告，达到目的。

黑客架设的假网站，大多是仿冒俄罗斯成人网站xHamster，但也有仿冒PornHub的情况。这些网站有些会显示裸露的画面，看起来像是能够播放的视频，也有要求用户验证年龄是否符合的情况，然而它们的目的完全相同：就是引诱用户点击网页。

只要用户点击网页上的任何组件，或是允许显示通知的授权许可，浏览器就会进入全面屏模式，然后出现假的Windows更新画面。为了防止受害者按下Esc、F12，或是其他按钮挣脱骗局，攻击者加入额外机制。

Acronis根据网站的程序代码进行长期关注，他们指出早期程序代码存在俄文注解，代表攻击者可能来自俄罗斯；再者，部分网站存在已被注解的Flash组件，代表网站可能使用很久以前的范本构建。此外，攻击者还在注解里使用一段和平宣言口号，原因不明。

而对于攻击者捏造的假更新网页，全部以HTML与JavaScript打造而成，并采用大量混淆手法隐藏ClickFix相关程序代码与有效酬载。一旦用户依照指示复制、粘贴指令，计算机就会执行MSHTA有效酬载，并启动内部的JavaScript脚本，执行PowerShell指令，然后从外部服务器截取PowerShell脚本，最终到受害计算机植入盗取信息软件，其中包括：Rhadamanthys、Vidar 2.0、RedLine，以及Amadey，但也有使用RAT木马与其他恶意程序的情况。