知名學(xué)生互動(dòng)平臺(tái)iClicker網(wǎng)站遭到ClickFix攻擊，該攻擊使用假的CAPTCHA提示來(lái)欺騙學(xué)生和教師在他們的設(shè)備上安裝惡意軟件。

iClicker是一種數(shù)字課堂工具，教師可以使用它來(lái)記錄出勤情況，提出現(xiàn)場(chǎng)問(wèn)題或調(diào)查，并跟蹤學(xué)生的參與情況。它被美國(guó)各地的5000名教師和700萬(wàn)名學(xué)生廣泛使用，包括密歇根大學(xué)、佛羅里達(dá)大學(xué)和加利福尼亞大學(xué)。

根據(jù)密歇根大學(xué)安全計(jì)算團(tuán)隊(duì)的安全警報(bào)，iClicker網(wǎng)站在2025年4月12日至4月16日期間遭到黑客攻擊，顯示了一個(gè)假的CAPTCHA，指示用戶按“我不是機(jī)器人”來(lái)驗(yàn)證自己。

然而，當(dāng)訪問(wèn)者點(diǎn)擊驗(yàn)證提示時(shí)，PowerShell腳本被悄無(wú)聲息地復(fù)制到Windows剪貼板中，這就是所謂的“ClickFix”社會(huì)工程攻擊。

然后CAPTCHA會(huì)指示用戶打開(kāi)Windows運(yùn)行對(duì)話框（Win + R），將PowerShell腳本（Ctrl + V）粘貼到其中，并按Enter鍵執(zhí)行以驗(yàn)證自己。

當(dāng)ClickFix攻擊不再在iClicker的網(wǎng)站上運(yùn)行時(shí)，Reddit上的一個(gè)人在Any上發(fā)起了這個(gè)命令。Run，顯示要執(zhí)行的PowerShell有效負(fù)載。

iClicker攻擊中使用的PowerShell命令被嚴(yán)重混淆，但在執(zhí)行時(shí)，它會(huì)連接到位于http://67.217.228[.]14:8080的遠(yuǎn)程服務(wù)器，以檢索要執(zhí)行的另一個(gè)PowerShell腳本。

但人們無(wú)法知道最終安裝了什么惡意軟件，因?yàn)楦鶕?jù)訪問(wèn)者的類型，檢索到的PowerShell腳本是不同的。

對(duì)于目標(biāo)訪問(wèn)者，它會(huì)發(fā)送一個(gè)腳本，將惡意軟件下載到計(jì)算機(jī)上。密歇根大學(xué)表示，惡意軟件允許威脅者完全訪問(wèn)受感染的設(shè)備。

對(duì)于那些不是目標(biāo)的，比如惡意軟件分析沙箱，腳本將下載并運(yùn)行合法的Microsoft Visual c++ Redistributable，如下所示。

ClickFix攻擊已成為廣泛的社會(huì)工程攻擊，已被用于許多惡意軟件活動(dòng)，包括假裝為Cloudflare CAPTCHA，谷歌Meet和web瀏覽器錯(cuò)誤的攻擊。

從過(guò)去的攻擊來(lái)看，攻擊可能會(huì)分發(fā)一個(gè)信息攔截器，它可以從谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium瀏覽器竊取cookie、憑據(jù)、密碼、信用卡和瀏覽歷史記錄。

這種類型的惡意軟件還可以竊取加密貨幣錢包、私鑰和可能包含敏感信息的文本文件，例如名為seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt和*.pdf的文件。

這些數(shù)據(jù)被收集成存檔并發(fā)送回攻擊者，在那里他們可以在進(jìn)一步的攻擊中使用這些信息，或者在網(wǎng)絡(luò)犯罪市場(chǎng)上出售這些信息。

被盜的數(shù)據(jù)也可以用來(lái)進(jìn)行大規(guī)模的破壞，從而導(dǎo)致勒索軟件攻擊。由于此次攻擊的目標(biāo)是大學(xué)生和教師，其目的可能是竊取證書(shū)，然后對(duì)大學(xué)網(wǎng)絡(luò)進(jìn)行攻擊。

值得一提的是，有人發(fā)現(xiàn)iClicker于5月6日在其網(wǎng)站上發(fā)布了一份安全公告，但在頁(yè)面的HTML中包含了一個(gè)標(biāo)簽，從而阻止了該文檔被搜索引擎索引，從而使查找有關(guān)該事件的信息變得更加困難。

“我們最近解決了一個(gè)影響iClicker登陸頁(yè)面（iClicker.com）的事件。重要的是，iClicker的數(shù)據(jù)、應(yīng)用程序或操作都沒(méi)有受到影響，iClicker登陸頁(yè)面上發(fā)現(xiàn)的漏洞已經(jīng)得到解決，”iClicker的安全公告寫(xiě)道。

出于考慮，iClicker建議在網(wǎng)站被黑客入侵時(shí)訪問(wèn)iClicker.com并遵循虛假CAPTCHA指令的用戶應(yīng)立即更改其iClicker密碼，如果執(zhí)行了該命令，則應(yīng)將存儲(chǔ)在計(jì)算機(jī)上的所有密碼更改為每個(gè)網(wǎng)站的唯一密碼。此外，通過(guò)移動(dòng)應(yīng)用程序訪問(wèn)iClicker或沒(méi)有遇到假CAPTCHA的用戶不會(huì)受到攻擊的風(fēng)險(xiǎn)。

本公眾號(hào)發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若有無(wú)意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請(qǐng)聯(lián)系我們處理！文章來(lái)源：嘶吼

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明