idacyber1/clickfix-etherhiding-analysis

GitHub: idacyber1/clickfix-etherhiding-analysis

以防御者视角编写的 ClickFix + EtherHiding 真实攻击活动技术分析报告,提供脱敏 IOC、检测思路和安全加固指南,用于提升安全意识和辅助防御检测。

Stars: 0 | Forks: 0

# ClickFix + EtherHiding — 攻击活动分析 这是一份以防御者视角撰写的真实世界 **ClickFix**(伪造 CAPTCHA → 剪贴板命令)攻击活动报告,该活动通过 **EtherHiding**(将恶意软件隐藏在 Binance Smart Chain 智能合约中)进行载荷分阶段部署,于 2026 年中在野外被观察到。 ## 免责声明 本仓库发布**仅用于教育、安全意识和防御性安全**——旨在帮助防御者和用户识别并阻止此类攻击。 - 按**“原样”提供,不提供任何形式**的保证。您需对如何使用这些材料自行承担全部责任。 - 此处的所有威胁指标和命令均已**消除危害**,且**不包含任何活跃的恶意软件样本**。**不要**对本仓库中的任何内容重新恢复危害、重构或执行。 - **请勿**使用这些材料进行或促成未经授权的访问、入侵或任何违法活动。仅在被授权测试的系统上操作,并遵守所有适用的法律。 - 本分析中提及的被入侵网站是该攻击活动的**无辜受害者**,而非攻击目标。 - 这**不是**法律或专业的安全建议。本观点仅代表作者个人,不代表任何雇主或组织。 ## 目录 - **[ClickFix-EtherHiding-Awareness-Article.md](ClickFix-EtherHiding-Awareness-Article.md)** — 叙事性 walkthrough:攻击是如何运作的、分阶段说明以及如何保护用户。面向广泛的安全受众编写。 - **[ANALYSIS.md](ANALYSIS.md)** — 技术配套文档:完整的执行链、IOC、EDR/SIEM 检测思路,以及 Windows (GPO/ASR) + macOS (MDM/Santa) 的安全加固指南。 - **[attack-path.svg](attack-path.svg)** / **[attack-path-horizontal.svg](attack-path-horizontal.svg)** — 攻击路径图。 - **screenshots/** — 对真实诱饵(Windows + macOS)和无头沙箱引爆的带注释截图。 ## 安全提示 - **本仓库中的所有威胁指标和命令均已消除危害**(`example[.]com`,以及以真实结构显示但禁用了域名的剪贴板命令)。**不要重新恢复其危害,且切勿将任何命令粘贴到 shell 中。** - **不包含活跃的恶意软件样本。** 出于避免重新分发可用攻击工具包以及重新发布无辜受害者网站的目的,解码后的 payload、原始链上响应以及被入侵网站的克隆均被故意省略。需要样本的研究人员应在隔离的、可追溯的环境中工作。 - IOC 中指出的被入侵的摄影网站是该攻击活动的**无辜受害者**,而非攻击者——列出它只是为了让其他人能够识别并帮助修复它。 ## 目的 旨在提高意识并进行检测。击败这一整类攻击的唯一规则是:**没有任何合法的网站、CAPTCHA 或错误页面会要求您按下 Win + R、打开 PowerShell/Terminal,或粘贴命令来“证明您是人类”。** 如果有东西要求您这样做——立即停止。这就是攻击。 ## 许可证 采用 [Creative Commons Attribution 4.0 International (CC BY 4.0)](LICENSE) 许可。您可以自由分享和改编,但需注明出处。
标签:DNS 反向解析, 区块链安全, 威胁情报, 安全意识, 开发者工具, 攻击路径分析, 网络信息收集, 防御分析, 防御加固