知名學生互動平臺iClicker網站遭到ClickFix攻擊，該攻擊使用假的CAPTCHA提示來欺騙學生和教師在他們的設備上安裝惡意軟件。

iClicker是一種數字課堂工具，教師可以使用它來記錄出勤情況，提出現場問題或調查，并跟蹤學生的參與情況。它被美國各地的5000名教師和700萬名學生廣泛使用，包括密歇根大學、佛羅里達大學和加利福尼亞大學。

根據密歇根大學安全計算團隊的安全警報，iClicker網站在2025年4月12日至4月16日期間遭到黑客攻擊，顯示了一個假的CAPTCHA，指示用戶按“我不是機器人”來驗證自己。

然而，當訪問者點擊驗證提示時，PowerShell腳本被悄無聲息地復制到Windows剪貼板中，這就是所謂的“ClickFix”社會工程攻擊。

然后CAPTCHA會指示用戶打開Windows運行對話框（Win + R），將PowerShell腳本（Ctrl + V）粘貼到其中，并按Enter鍵執行以驗證自己。

一個假的CAPTCHA在ClickFix攻擊的例子

當ClickFix攻擊不再在iClicker的網站上運行時，Reddit上的一個人在Any上發起了這個命令。Run，顯示要執行的PowerShell有效負載。

iClicker攻擊中使用的PowerShell命令被嚴重混淆，但在執行時，它會連接到位于http://67.217.228[.]14:8080的遠程服務器，以檢索要執行的另一個PowerShell腳本。

在iClicker ClickFix攻擊中使用的模糊PowerShell腳本

但人們無法知道最終安裝了什么惡意軟件，因為根據訪問者的類型，檢索到的PowerShell腳本是不同的。

對于目標訪問者，它會發送一個腳本，將惡意軟件下載到計算機上。密歇根大學表示，惡意軟件允許威脅者完全訪問受感染的設備。

對于那些不是目標的，比如惡意軟件分析沙箱，腳本將下載并運行合法的Microsoft Visual c++ Redistributable，如下所示。

iwr https://download.microsoft.com/download/9/3/f/93fcf1e7-e6a4-478b-96e7-d4b285925b00/vc_redist.x64.exe -out "$env:TMP/vc_redist.x64.exe"; & "$env:TMP/vc_redist.x64.exe"

ClickFix攻擊已成為廣泛的社會工程攻擊，已被用于許多惡意軟件活動，包括假裝為Cloudflare CAPTCHA，谷歌Meet和web瀏覽器錯誤的攻擊。

從過去的攻擊來看，攻擊可能會分發一個信息攔截器，它可以從谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium瀏覽器竊取cookie、憑據、密碼、信用卡和瀏覽歷史記錄。

這種類型的惡意軟件還可以竊取加密貨幣錢包、私鑰和可能包含敏感信息的文本文件，例如名為seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt和*.pdf的文件。

這些數據被收集成存檔并發送回攻擊者，在那里他們可以在進一步的攻擊中使用這些信息，或者在網絡犯罪市場上出售這些信息。

被盜的數據也可以用來進行大規模的破壞，從而導致勒索軟件攻擊。由于此次攻擊的目標是大學生和教師，其目的可能是竊取證書，然后對大學網絡進行攻擊。

值得一提的是，有人發現iClicker于5月6日在其網站上發布了一份安全公告，但在頁面的HTML中包含了一個標簽，從而阻止了該文檔被搜索引擎索引，從而使查找有關該事件的信息變得更加困難。

帶有noindex標簽的點擊器安全公告

“我們最近解決了一個影響iClicker登陸頁面（iClicker.com）的事件。重要的是，iClicker的數據、應用程序或操作都沒有受到影響，iClicker登陸頁面上發現的漏洞已經得到解決，”iClicker的安全公告寫道。

出于考慮，iClicker建議在網站被黑客入侵時訪問iClicker.com并遵循虛假CAPTCHA指令的用戶應立即更改其iClicker密碼，如果執行了該命令，則應將存儲在計算機上的所有密碼更改為每個網站的唯一密碼。此外，通過移動應用程序訪問iClicker或沒有遇到假CAPTCHA的用戶不會受到攻擊的風險。

參考及來源：https://www.bleepingcomputer.com/news/security/iclicker-hack-targeted-students-with-malware-via-fake-captcha/