Cybersecuritynews 研究团队发现了一项复杂的社会工程活动，该活动利用公众对免费互联网访问的需求，使用欺骗性 Wi-Fi 门户诱骗用户下载和执行基于 PowerShell 的恶意软件。

这种方法被称为“Clickfix”攻击，以简单的人工验证步骤为幌子，将用户自己的浏览器作转向对他们不利的行为，从而破坏他们的系统。

攻击针对机场等公共场所的个人，“免费 Wi-Fi”的承诺是一个强大的诱饵。毫无戒心的用户试图连接会被重定向到一个专业设计但虚假的强制门户。

这些页面通常托管在不安全的 IP 地址而不是合法域上，模仿真实的网络登录屏幕，并配有徽标和验证码提示以“证明您不是机器人”，该功能旨在建立虚假的安全感。

欺骗性验证过程

Clickfix攻击的核心在于其对用户行为的巧妙纵。用户与虚假验证码交互后，会出现一个弹出窗口，其中包含一组“验证步骤”。

Cybersecuritynews 研究团队表示，这些说明不是简单的单击，而是引导用户完成特定的键盘快捷键序列：按 保存网页，导航到浏览器的下载窗口，然后按 打开文件。Ctrl+SEnter

此序列是一种社会工程技巧，旨在绕过有关下载可执行文件的标准浏览器安全警告。

通过指示用户保存页面并自行运行文件，攻击者有效地获得了执行恶意代码的同意。下载的文件不是图像或文档，而是引发感染的脚本。

一旦用户无意中执行了下载的文件，就会启动恶意 PowerShell 脚本。

使用 ANY 分析攻击链。RUN Sandbox 显示该脚本充当下载器，建立与命令和控制服务器的连接以获取主要恶意软件有效负载。在此活动中，有效负载已被识别为网络木马。

PowerShell 对于攻击者来说是一个强大的工具，因为它集成到 Windows 中，可以直接在内存中执行命令、脚本和有效负载，通常逃避传统防病毒解决方案的检测。

这种类型的无文件恶意软件可用于各种恶意活动，包括窃取敏感信息、部署勒索软件或为远程访问受感染设备提供持久后门。

为了防范这种威胁，用户在连接到公共 Wi-Fi 时应保持警惕，仔细检查登录页面的 URL，并非常谨慎地对待任何需要异常键盘命令进行验证的网站。