知名學(xué)生互動平臺iClicker網(wǎng)站遭到ClickFix攻擊，該攻擊使用假的CAPTCHA提示來欺騙學(xué)生和教師在他們的設(shè)備上安裝惡意軟件。

iClicker是一種數(shù)字課堂工具，教師可以使用它來記錄出勤情況，提出現(xiàn)場問題或調(diào)查，并跟蹤學(xué)生的參與情況。它被美國各地的5000名教師和700萬名學(xué)生廣泛使用，包括密歇根大學(xué)、佛羅里達大學(xué)和加利福尼亞大學(xué)。

根據(jù)密歇根大學(xué)安全計算團隊的安全警報，iClicker網(wǎng)站在2025年4月12日至4月16日期間遭到黑客攻擊，顯示了一個假的CAPTCHA，指示用戶按“我不是機器人”來驗證自己。

然而，當(dāng)訪問者點擊驗證提示時，PowerShell腳本被悄無聲息地復(fù)制到Windows剪貼板中，這就是所謂的“ClickFix”社會工程攻擊。

然后CAPTCHA會指示用戶打開Windows運行對話框（Win + R），將PowerShell腳本（Ctrl + V）粘貼到其中，并按Enter鍵執(zhí)行以驗證自己。

當(dāng)ClickFix攻擊不再在iClicker的網(wǎng)站上運行時，Reddit上的一個人在Any上發(fā)起了這個命令。Run，顯示要執(zhí)行的PowerShell有效負載。

iClicker攻擊中使用的PowerShell命令被嚴重混淆，但在執(zhí)行時，它會連接到位于http://67.217.228[.]14:8080的遠程服務(wù)器，以檢索要執(zhí)行的另一個PowerShell腳本。

但人們無法知道最終安裝了什么惡意軟件，因為根據(jù)訪問者的類型，檢索到的PowerShell腳本是不同的。

對于目標(biāo)訪問者，它會發(fā)送一個腳本，將惡意軟件下載到計算機上。密歇根大學(xué)表示，惡意軟件允許威脅者完全訪問受感染的設(shè)備。

對于那些不是目標(biāo)的，比如惡意軟件分析沙箱，腳本將下載并運行合法的Microsoft Visual c++ Redistributable，如下所示。

ClickFix攻擊已成為廣泛的社會工程攻擊，已被用于許多惡意軟件活動，包括假裝為Cloudflare CAPTCHA，谷歌Meet和web瀏覽器錯誤的攻擊。

從過去的攻擊來看，攻擊可能會分發(fā)一個信息攔截器，它可以從谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium瀏覽器竊取cookie、憑據(jù)、密碼、信用卡和瀏覽歷史記錄。

這種類型的惡意軟件還可以竊取加密貨幣錢包、私鑰和可能包含敏感信息的文本文件，例如名為seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt和*.pdf的文件。

這些數(shù)據(jù)被收集成存檔并發(fā)送回攻擊者，在那里他們可以在進一步的攻擊中使用這些信息，或者在網(wǎng)絡(luò)犯罪市場上出售這些信息。

被盜的數(shù)據(jù)也可以用來進行大規(guī)模的破壞，從而導(dǎo)致勒索軟件攻擊。由于此次攻擊的目標(biāo)是大學(xué)生和教師，其目的可能是竊取證書，然后對大學(xué)網(wǎng)絡(luò)進行攻擊。

值得一提的是，有人發(fā)現(xiàn)iClicker于5月6日在其網(wǎng)站上發(fā)布了一份安全公告，但在頁面的HTML中包含了一個標(biāo)簽，從而阻止了該文檔被搜索引擎索引，從而使查找有關(guān)該事件的信息變得更加困難。

“我們最近解決了一個影響iClicker登陸頁面（iClicker.com）的事件。重要的是，iClicker的數(shù)據(jù)、應(yīng)用程序或操作都沒有受到影響，iClicker登陸頁面上發(fā)現(xiàn)的漏洞已經(jīng)得到解決，”iClicker的安全公告寫道。

出于考慮，iClicker建議在網(wǎng)站被黑客入侵時訪問iClicker.com并遵循虛假CAPTCHA指令的用戶應(yīng)立即更改其iClicker密碼，如果執(zhí)行了該命令，則應(yīng)將存儲在計算機上的所有密碼更改為每個網(wǎng)站的唯一密碼。此外，通過移動應(yīng)用程序訪問iClicker或沒有遇到假CAPTCHA的用戶不會受到攻擊的風(fēng)險。

本公眾號發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號對此不持立場，若有無意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請聯(lián)系我們處理！文章來源：嘶吼

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明