一场名为 “Clickflix 技术” 的复杂网络钓鱼活动已经出现,它通过看似合法的品牌合作请求,将目标对准了 YouTube 内容创作者。
这种新的攻击手段利用创作者急于获得赞助的心理,把恶意软件有效载荷伪装成合作文档。
网络犯罪分子通过电子邮件或社交媒体发起联系,冒充知名品牌的营销代表,提供丰厚的合作条件,要求创作者查看托管在受攻击域名或云存储上的 “活动资料”。
攻击者通常会接触粉丝数量在 1 万至 50 万之间的创作者,精心编写邮件,提及创作者的内容风格和以往的赞助情况,以此建立可信度。
创作者点击恶意链接后,会被导向仿冒热门文件共享服务的专业外观登录页面,并被提示下载看似 PDF 合同或活动简报的文件。
CloudSek 的研究人员在 2025 年 3 月初发现了这场活动,并指出该恶意软件采用了多阶段感染过程,旨在规避传统安全防护措施。
他们的分析显示,在游戏、科技评测和生活方式等领域,有超过 2300 名创作者成为攻击目标,约 18% 的目标被成功入侵。
此次攻击利用了社会工程学原理,并结合技术欺骗手段,经常给出限时优惠,迫使创作者仓促做出决定。
受害者称收到了提及他们制作的特定视频的定制信息,这表明威胁行为者在发起联系前进行了大量侦察工作。
感染机制利用 JavaScript 混淆技术
恶意软件的主要感染途径是使用一种复杂的 JavaScript 下载器,当受害者打开看似标准的 HTML 预览页面时,该下载器就会执行。
初始有效载荷采用了多层混淆技术,最后阶段类似于这个简化示例:
const decoderKey = navigator.userAgent.slice (0,8);
eval (function (p,a,c,k,e,d){
/* 高度混淆的 PowerShell 下载器 */
return p;
}(‘powershell -w hidden -e JGNsaWVudCA9…’))
这段混淆代码最终会触发一个 PowerShell 命令,下载一个窃取器,该窃取器专门针对浏览器数据,尤其侧重于 YouTube Studio 的凭证、Google 身份验证令牌和加密货币钱包信息。
恶意软件通过修改 Windows 注册表和创建诸如 “GoogleUpdateTask” 等看似无害名称的计划任务来实现持久化,以避免在常规系统检查中被发现。
这次攻击表明,针对内容创作者的定向攻击活动正变得越来越复杂。由于内容创作者具有货币化潜力以及能够接触到庞大的受众群体,他们日益成为有价值的攻击目标。
发表评论
您还未登录,请先登录。
登录