新的“ClickFix”恶意软件工具通过隐藏在浏览器缓存中绕过 EDR

一种新的恶意软件传播工具在地下论坛上流传。网络犯罪分子现在可以轻松租用它。此威胁专门针对 Windows 计算机。它的主要技巧是在不发出危险信号的情况下突破你的防御。

卖家将 ClickFix 宣传为一种悄悄感染机器的方法。广告声称：“它绕过了通常的危险信号。” “没有安全软件喜欢发现的大文件下载或奇怪的网络调用。”相反，该工具会诱骗用户运行虚假的浏览器修复程序。

一旦有人点击，有效负载就会将其自身植入浏览器缓存中。大多数防病毒扫描都会忽略此点。从那里开始，它使用隐藏文件浏览器命令来启动恶意软件。一切看起来都很无辜，就好像正在进行例行浏览器维护一样。

攻击者瞄准浏览器存储来逃避检测

专家警告说，这种方法符合日益增长的趋势。不良行为者越来越多地使用浏览器存储，因为它作为用户管理的临时空间运行。缓存文件夹存储图像和脚本等 Web 数据。然而，安全工具不会像程序文件那样锁定它们。

EDR 工具在扫描期间通常会忽略缓存文件夹。他们假设这些目录包含浏览会话中无害的残留物。 “ClickFix 完美地利用了这个盲点，”安全研究人员指出。 “它使该工具成为红队演习或实际攻击的理想工具。”

ClickFix 开始于网络钓鱼的诱惑。受害者会收到一封电子邮件或链接，声称他们的浏览器需要快速更新。他们会看到一个标有“单击以修复缓存错误”的弹出窗口或快捷方式。当用户单击它时，脚本会在后台运行。

该脚本从看起来合法的站点获取一些编码的有效负载。没有任何东西超过几千字节，因此它不会触发网络监视器。接下来才是真正的行动。该脚本对有效负载进行解码并将其放入浏览器的缓存目录中。在 Windows 上，这可能是 Chrome 的用户数据/默认/缓存文件夹。

恶意软件会重命名文件以模仿缩略图或临时文件。像“cache_001.dat”这样的名称有助于它融入。不会发生对系统文件夹的写入。不会发生会引发恶意软件的注册表更改。

为了执行，ClickFix 为文件资源管理器制作了一个伪装的命令。诸如“explorer.exe /root,CacheFolder:RunPayload”之类的内容会融入到正常的资源管理器活动中。这会绕过 CrowdStrike 或 Microsoft Defender 等工具中的行为规则。

据 Dark Web Informer 称，该恶意软件一旦运行就可以做任何事情。研究人员证实：“窃取数据、部署勒索软件或设置后门。”卖方声称具有 EDR 证明状态，因为该工具会链接短期进程。在内存扫描或进程树的雷达下，每个步骤仅持续几秒钟。

这种多用途能力反映了复杂的国家支持团体的策略，例如Lazarus Group 部署 macOS 恶意软件来攻击区块链工程师，表明无论是网络犯罪分子在论坛上租用工具还是民族国家进行间谍活动，其目标都是相同的：无声渗透以造成最大损害。

研究人员测试了一个样本，并确认它规避了基本签名。然而，如果防御者正确调整他们的系统，高级行为分析可能会发现资源管理器的滥用情况。

上周，Exploit.in 或 BreachForums 等网站上的论坛帖子就展示了该广告。演示视频显示它感染虚拟机而不触发任何警报。

销售细节和防御建议

完整套餐的加密货币价格为 300 美元。买家会收到 JavaScript 和 PowerShell 的源代码、构建器 GUI、设置指南和现成的诱饵模板。 “只要额外支付 200 美元，我们就可以定制网络钓鱼页面，以匹配 Google 或 Microsoft 等品牌，”卖家在广告中说道。通过加密链接立即交付，并承诺终身更新。

这一发展具有实际意义。类似的基于缓存的攻击（例如 2025 Magecart 变体）将支付窃取器隐藏在浏览器存储中。安全专家 Brian Krebs 广泛报道了这些事件。随着浏览器加强沙箱，缓存滥用可能会增加。

组织现在应该扫描 EDR 规则中的缓存文件夹。他们需要阻止不寻常的资源管理器参数并培训用户如何进行虚假修复诈骗。防御者必须快速采取行动，更新浏览器策略以在退出时清除缓存。他们应该密切监视浏览器中的 PowerShell 活动。

威胁追踪者应该在浏览器目录中搜索与“cache_*.dat”等模式匹配的文件中的异常情况。这种低技术含量的伎俩证明，逃避军备竞赛永远不会真正结束。工具发生变化；然而，坏人与捍卫者之间的猫捉老鼠的斗争仍在继续。

对于普通用户来说，最好的防御就是良好的进攻，首先是为隐私和安全而构建的浏览器。查看我们最安全的浏览器列表用于私密浏览，了解哪些选项可以针对 ClickFix 等基于缓存的恶意软件提供最强的保护。