ClickFix 钓鱼活动伪装成 Claude AI 安装程序

执行摘要

根据Rapid7的分析，一个网络钓鱼活动正在使用假冒的Anthropic的Claude AI聊天机器人安装程序作为诱饵，部署一种称为'ClickFix'的复杂社会工程技术。攻击者冒充技术支持，说服受害者下载合法的远程桌面软件，从而直接访问受害者的机器。一旦建立访问，威胁行为者转向窃取凭证、会话cookie和银行信息，通常导致直接从受害者账户中盗窃财务。

技术分析

该活动始于包含链接到恶意网站的网络钓鱼电子邮件，该网站旨在模仿官方Claude AI下载页面。网站提示用户下载一个文件，通常命名为Claude_Setup.msi或类似名称。Rapid7的分析表明，这个MSI安装程序不包含Claude软件，而是社会工程攻击的渠道。执行后，安装程序显示一个伪造的错误消息，声称由于“系统文件损坏”或类似问题导致安装失败。消息中包含一个“技术支持”电话号码，将受害者直接连接到攻击者。

攻击的核心是“ClickFix”技术，这是安全研究人员用来描述攻击者指导受害者通过步骤破坏自己系统的手动键盘社会工程方法的术语。在这种情况下，假冒的支持代理指导受害者下载合法的远程管理工具（RAT），如AnyDesk、RustDesk或Splashtop。然后攻击者使用受害者提供的凭证建立远程桌面会话。有了直接访问权限，威胁行为者可以禁用安全软件，浏览文件系统，并安装额外的恶意软件。Rapid7的分析指出，重点是窃取网络浏览器数据——包括密码、自动填充信息和会话cookie——以及访问在线银行和加密货币交换账户以启动欺诈性转账。

入侵指标

目前没有识别出任何入侵指标。Rapid7的博客文章没有提供与此活动相关的具体哈希值、域名或IP地址。建议组织将未经请求的技术支持联系和从非官方来源下载安装程序视为高风险指标。

战术、技术与程序

威胁行为者采用多阶段的战术、技术与程序（TTP）集合，将社会工程与滥用合法工具相结合：

1. 初始访问 (T1566.002)：通过伪装成官方软件下载门户的恶意网站进行网络钓鱼。
2. 执行 (T1204.002)：用户执行恶意MSI文件，通常是由伪造的错误提示。
3. 社会工程 (T1656)：直接语音通信，攻击者冒充技术支持以建立信任并发出指示。
4. 远程服务 (T1219)：滥用合法的远程访问软件（AnyDesk、RustDesk）进行命令和控制。
5. 凭证访问 (T1555)：在获得远程访问后，手动窃取网络浏览器中的凭证和cookie。
6. 财务盗窃 (T1657)：在受害者的认证会话中直接导航到银行网站，以启动欺诈性交易。

威胁行为者背景

Rapid7没有识别出此次活动背后的特定威胁行为者。使用“ClickFix”方法和财务动机与已知的网络犯罪集团相符，这些集团通常位于东欧或亚洲，专门从事技术支持诈骗和手动键盘欺诈。选择Claude AI作为诱饵表明试图利用当前对生成性AI工具的兴趣，以增加网络钓鱼电子邮件的可信度和点击率。

缓解措施与建议

Rapid7和一般安全最佳实践推荐以下缓解措施：

• 用户培训：教育员工和用户对未经请求的技术支持联系持怀疑态度，特别是那些通过弹出式错误或网络钓鱼电子邮件启动的。强调合法软件供应商不会以这种方式主动联系用户。
• 下载来源：执行政策，规定软件必须仅从官方供应商网站或批准的企业存储库下载。尽可能阻止从非企业来源下载远程桌面软件。
• 端点控制：实施应用程序允许列表，以防止执行未经授权的软件，包括未明确允许的远程管理工具。使用端点检测和响应（EDR）工具监控可疑的远程桌面会话和进程活动。
• 权限管理：确保标准用户帐户没有管理权限，这可以限制攻击者在远程会话期间可以造成的损害。
• 财务控制：对于高风险个人，考虑实施交易验证延迟或多人审批，以批准从企业账户进行的重大财务转账。