文章总结： 新型ClickFix攻击利用伪造CAPTCHA和MicrosoftApp-V脚本传播Amatera窃密软件。攻击者采用LSB隐写术在PNG图片中隐藏载荷并通过内存执行规避检测。建议限制运行对话框访问，移除非必要App-V组件，启用PowerShell日志及监控网络连接以进行防御。 综合评分： 86 文章分类： 威胁情报,恶意软件,漏洞分析,免杀,应急响应

ClickFix 的新型攻击利用 HYPER-V 脚本推送恶意软件

原创

ZM ZM

暗镜

2026年1月27日 08:35 北京

一项新的恶意活动将 ClickFix 方法与伪造的 CAPTCHA 和已签名的 Microsoft 应用程序虚拟化 (App-V) 脚本相结合，最终目的是传播 Amatera 信息窃取恶意软件。

有效载荷数据通过 LSB 隐写术提取，解密后进行 GZip 解压缩，并在内存中完全执行。最后，PowerShell 阶段解密并启动原生 shellcode，该 shellcode 映射并执行 Amatera 信息窃取程序。

Microsoft App-V 脚本充当一个利用系统资源运行的二进制文件，它通过受信任的 Microsoft 组件代理 PowerShell 的执行，以掩盖恶意活动。

Microsoft Application Virtualization 是 Windows 的一项企业功能，它允许将应用程序打包并在隔离的虚拟环境中运行，而无需实际安装在系统上。

虽然过去曾有人利用 App-V 脚本来规避安全解决方案，但这是首次在 ClickFix 攻击中发现此类文件，该攻击会传播信息窃取程序。

据提供威胁搜寻、检测和响应服务的公司 BlackPoint Cyber 称，该攻击始于一个伪造的 CAPTCHA 人机验证检查，该检查指示受害者通过 Windows 运行对话框手动粘贴并执行命令。

ClickFix 页面 来源：BlackPoint

粘贴的命令滥用了合法的 SyncAppvPublishingServer.vbs App-V 脚本，该脚本通常用于发布和管理虚拟化企业应用程序。

该脚本使用受信任的wscript.exe二进制文件执行 ，并启动 PowerShell。

在初始阶段，该命令会验证用户是否手动执行了该命令，执行顺序是否按预期进行，以及剪贴板内容是否保持不变，以确保恶意软件加载程序不会在沙箱机器上运行。

BlackPoint Cyber 的研究人员表示，如果检测到分析环境，执行过程会悄无声息地无限期暂停，这可能是为了浪费自动化分析资源。

当满足条件时，恶意软件会从包含特定事件中 base64 编码配置值的公共 Google 日历文件中检索配置数据。

在攻击的后期阶段，通过 Windows 管理规范 (WMI) 框架生成一个 32 位隐藏的 PowerShell 进程，并将多个嵌入式有效载荷解密并加载到内存中。

感染链随后转向使用隐写术隐藏有效载荷，即将加密的 PowerShell 有效载荷嵌入到托管在公共 CDN 上的 PNG 图像中，并通过解析的 WinINet API 动态检索。

一旦在主机上激活，恶意软件就会连接到硬编码的 IP 地址以检索端点映射，并等待通过 HTTP POST 请求传递的其他二进制有效载荷。

BlackPoint Cyber 将 Amatera 恶意软件归类为标准的信息窃取程序，它可以从受感染的系统中收集浏览器数据和凭据，但并未详细说明其数据窃取功能。

根据代码重叠情况来看，Amatera 源自 ACR 信息窃取程序，目前仍在积极开发中，并以恶意软件即服务 (MaaS) 的形式提供。Proofpoint 的研究人员在去年的一份报告中指出，Amatera 的每次更新都使其变得更加复杂。

Amatera 运营商过去曾通过 ClickFix 方法传播该病毒，诱骗用户直接执行 PowerShell 命令。

为了防御这些攻击，研究人员建议通过组策略限制对 Windows 运行对话框的访问，在不需要时删除 App-V 组件，启用 PowerShell 日志记录，并监控出站连接是否存在 HTTP Host 标头或 TLS SNI 与目标 IP 之间的不匹配。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《ClickFix 的新型攻击利用 HYPER-V 脚本推送恶意软件》