【安全资讯】新型ClickFix攻击滥用nslookup通过DNS检索PowerShell恶意载荷

概要：

网络安全威胁持续演变，社会工程学攻击手段愈发隐蔽。近期，微软安全研究人员发现了一种新型的ClickFix攻击变种，其创新性地滥用DNS查询作为恶意载荷的传输通道，标志着此类攻击首次利用DNS作为通信和暂存渠道，对全球范围内的企业和个人用户构成新的威胁。

主要内容：

在此次新发现的ClickFix攻击活动中，攻击者诱导受害者执行一个特定的nslookup命令。该命令并非查询系统默认的DNS服务器，而是指向攻击者控制的服务器（IP地址为84[.]21.189[.]20）。

当受害者执行命令后，攻击者控制的DNS服务器会在查询响应的“NAME:”字段中返回一个恶意的PowerShell脚本。该脚本随后在受害设备上被执行，从而启动后续攻击链。

攻击的第二阶段会从攻击者控制的基础设施下载一个ZIP压缩包，其中包含Python运行时环境及恶意脚本，用于在被感染设备上进行侦察。攻击通过创建VBScript文件和启动项快捷方式实现持久化驻留。

最终植入的恶意载荷是名为ModeloRAT的远程访问木马，使攻击者能够远程控制受害系统。与以往主要通过HTTP获取载荷的ClickFix攻击不同，此变种利用DNS传输载荷，能更好地伪装在正常网络流量中，并允许攻击者动态修改载荷，增加了检测难度。