ConsentFix与ClickFix:Microsoft 365账户如何在3秒内被劫持

导语:本文由Huntress Labs赞助,分析了ClickFix与ConsentFix这两类针对Microsoft 365的新型攻击手法,揭示攻击者如何通过伪造提示与OAuth同意流程在3秒内窃取账户令牌并绕过MFA。
可能只是把一个链接拖进浏览器里这么简单的一个动作。三秒之后,攻击者就已经获得了接管你的Microsoft 365账户所需的令牌,而你从未做过任何传统安全意识培训会标记的行为。你只是按照一套看起来很正常的指示操作而已。
这是现代网络犯罪的典型特征:它不会强行闯入,而是悄悄融入日常工作流程的中段,把一个常规动作变成一切失控的瞬间。
这就是ClickFix攻击的核心机制。受害者会看到一个伪造的提示,要求他们按下一系列键盘快捷键,从而在他们自己的机器上粘贴并执行攻击者提供的命令。这里没有可利用的漏洞,也没有与防火墙的正面对抗,只是一个在恰当时机插入的、令人信服的谎言。
ClickFix在2025年激增,并持续保持活跃,但攻击者已经将这一概念演变得更加复杂。图1展示了ClickFix风格的伪造验证提示。
较新的变种ConsentFix将攻击面转移到了Microsoft 365的OAuth同意流程——也就是那些用户在熟悉之后便不再仔细审视的登录提示。
整个设置伪装得极为干净。钓鱼诱饵送达后,通常通过Dropbox或DocSend等可信平台投递,有时还设置了密码保护,这同时也让安全工具更难对其进行检查。
受害者一路点击后,会遇到一个看起来像标准Microsoft认证页面的屏幕,并被要求通过将一个localhost回调链接拖入浏览器来完成验证流程。从受害者的视角看,一切都显得合规且熟悉,这也正是这种攻击如此高效的原因所在。
来源信息
来源:BleepingComputer
作者:Sponsored by Huntress Labs

