11月30日消息，近日，网络安全研究公司Huntress曝光了一种更新版的ClickFix恶意软件，其伪装手法堪称迄今为止最巧妙、最险恶的信息窃取形式之一。

这款恶意软件主要出现在模仿热门网站的虚假成人网站上，通常以广告或年龄验证提示的形式出现，用户点击后会看到一个全屏的Windows更新画面，并显示进度条已完成95%。

随后，它指示用户按下“Windows键 + R”打开运行窗口，粘贴一段已预先复制好的恶意代码，并授予管理员权限。

一旦命令被激活，它会利用系统预装的mshta工具，为了躲避安全软件的检测，程序还会运行一段垃圾PowerShell代码，随后执行解密。

最狡猾之处在于，它能解密一个看似无害的PNG图片文件，并从图片的像素数据中提取真正的Shell指令，将其注入到目标平台上已运行的进程中。

最终，该恶意软件会部署Rhada-manthys或LummaC2等信息窃取程序，专门刮取用户保存在本地的用户名、密码、加密货币钱包及银行卡等敏感信息，并发送至境外服务器。

犯罪分子甚至在代码中使用了混淆技术，例如嵌入一段不相关的联合国会议，极大地增加了安全专家分析和检测的难度。

Huntress指出，这种变体自十月初以来一直在互联网上流传建议用户务必仔细核对域名URL，避免点击可疑广告，尤其不要在设备上运行任何由不可信来源直接提供的命令。