文章來源：
想找破解網站下載盜版遊戲？小心遭假驗證碼網頁攻擊,2024/09/25.邱倢芯

⚾️ 新聞概述

McAfee 實驗室的安全研究人員發現了一種稱為「ClickFix」的攻擊行為，該攻擊專門針對尋找破解或盜版遊戲的玩家。攻擊方式是透過假冒的驗證碼網頁引誘使用者執行惡意腳本，進而感染「Lumma Stealer」惡意軟體。此惡意軟體專門竊取使用者的登入憑證，並且使用多層加密與 Windows 工具 mshta.exe 來隱藏惡意程式碼，避開防毒軟體的偵測。

攻擊方式與途徑

1. 搜尋引擎重導向：當使用者搜尋盜版遊戲時，會被重新導向至惡意的驗證碼頁面

2. 釣魚電子郵件：冒充 GitHub，向使用者告知其專案中存在虛構的安全風險

無論哪種情況，使用者都會被要求進行驗證操作，並在不知不覺中將惡意腳本複製到剪貼簿，進而感染惡意軟體。

◼️ What I Leaned ?

什麼是「ClickFix」？

「ClickFix」是 McAfee 實驗室研究人員命名的攻擊活動，利用假冒的驗證碼網頁引誘使用者執行惡意腳本，進而下載「Lumma Stealer」這種專門用來竊取憑證的惡意程式。

這些攻擊主要針對那些試圖下載破解或盜版遊戲的玩家，還有 GitHub 的用戶。

「ClickFix」的惡意程式難以被防毒軟體偵測的原因？

• 多層加密：攻擊者使用多層加密來隱藏惡意腳本，難以讓防毒軟體識別。

• mshta.exe 的濫用：利用 Windows 系統的合法工具 mshta.exe 來執行隱藏的惡意程式碼，避免觸發防護機制。

• 存放於臨時資料夾：惡意軟體通常被放在用戶的臨時資料夾中，這些位置經常被安全掃描忽略。

McAfee 為了應對這類攻擊，已實施保護措施，如 URL 阻止和檢測 mshta.exe 的異常使用情況，防止惡意程式在系統中運行

◼️ 相關連結

• 資訊竊取程式 Lumma Stealer 之分析報告—台灣學術網路危機處理中心
• Day 2：駭客如何利用GitHub評論散佈惡意軟體 - Lumma Stealer