iClicker网站遭遇网络攻击 通过假验证码向学生分发恶意软件

知名学生互动平台iClicker网站遭到ClickFix攻击，该攻击使用假的CAPTCHA提示来欺骗学生和教师在他们的设备上安装恶意软件。

iClicker是一种数字课堂工具，教师可以使用它来记录出勤情况，提出现场问题或调查，并跟踪学生的参与情况。它被美国各地的5000名教师和700万名学生广泛使用，包括密歇根大学、佛罗里达大学和加利福尼亚大学。

根据密歇根大学安全计算团队的安全警报，iClicker网站在2025年4月12日至4月16日期间遭到黑客攻击，显示了一个假的CAPTCHA，指示用户按“我不是机器人”来验证自己。

然而，当访问者点击验证提示时，PowerShell脚本被悄无声息地复制到Windows剪贴板中，这就是所谓的“ClickFix”社会工程攻击。

然后CAPTCHA会指示用户打开Windows运行对话框（Win + R），将PowerShell脚本（Ctrl + V）粘贴到其中，并按Enter键执行以验证自己。

一个假的CAPTCHA在ClickFix攻击的例子

当ClickFix攻击不再在iClicker的网站上运行时，Reddit上的一个人在Any上发起了这个命令。Run，显示要执行的PowerShell有效负载。

iClicker攻击中使用的PowerShell命令被严重混淆，但在执行时，它会连接到位于http://67.217.228[.]14:8080的远程服务器，以检索要执行的另一个PowerShell脚本。

在iClicker ClickFix攻击中使用的模糊PowerShell脚本

但人们无法知道最终安装了什么恶意软件，因为根据访问者的类型，检索到的PowerShell脚本是不同的。

对于目标访问者，它会发送一个脚本，将恶意软件下载到计算机上。密歇根大学表示，恶意软件允许威胁者完全访问受感染的设备。

对于那些不是目标的，比如恶意软件分析沙箱，脚本将下载并运行合法的Microsoft Visual c++ Redistributable，如下所示。

iwr https://download.microsoft.com/download/9/3/f/93fcf1e7-e6a4-478b-96e7-d4b285925b00/vc_redist.x64.exe -out "$env:TMP/vc_redist.x64.exe"; & "$env:TMP/vc_redist.x64.exe"

ClickFix攻击已成为广泛的社会工程攻击，已被用于许多恶意软件活动，包括假装为Cloudflare CAPTCHA，谷歌Meet和web浏览器错误的攻击。

从过去的攻击来看，攻击可能会分发一个信息拦截器，它可以从谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium浏览器窃取cookie、凭据、密码、信用卡和浏览历史记录。

这种类型的恶意软件还可以窃取加密货币钱包、私钥和可能包含敏感信息的文本文件，例如名为seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt和*.pdf的文件。

这些数据被收集成存档并发送回攻击者，在那里他们可以在进一步的攻击中使用这些信息，或者在网络犯罪市场上出售这些信息。

被盗的数据也可以用来进行大规模的破坏，从而导致勒索软件攻击。由于此次攻击的目标是大学生和教师，其目的可能是窃取证书，然后对大学网络进行攻击。

值得一提的是，有人发现iClicker于5月6日在其网站上发布了一份安全公告，但在页面的HTML中包含了一个标签，从而阻止了该文档被搜索引擎索引，从而使查找有关该事件的信息变得更加困难。

带有noindex标签的点击器安全公告

“我们最近解决了一个影响iClicker登陆页面（iClicker.com）的事件。重要的是，iClicker的数据、应用程序或操作都没有受到影响，iClicker登陆页面上发现的漏洞已经得到解决，”iClicker的安全公告写道。

出于考虑，iClicker建议在网站被黑客入侵时访问iClicker.com并遵循虚假CAPTCHA指令的用户应立即更改其iClicker密码，如果执行了该命令，则应将存储在计算机上的所有密码更改为每个网站的唯一密码。此外，通过移动应用程序访问iClicker或没有遇到假CAPTCHA的用户不会受到攻击的风险。