// 活跃威胁 · 2026

在您的电脑上运行恶意软件的虚假 CAPTCHA

ClickFix 是 2026 年排名第一的浏览器攻击链。您打开一个页面,看到熟悉的"验证您是真人"复选框,点击后页面要求您按下 Win+R 并粘贴一行文本。那行文本就是 PowerShell 恶意软件。最终您会亲手感染自己的电脑。SafeBrowz 在点击前就拦截投递网站,对从未见过的页面标记指令文本,Premium 版本还能捕获让此技巧得逞的静默剪贴板替换。

Chrome 添加到 Chrome Firefox Firefox Edge Edge 了解工作原理

支持 Chrome、Firefox 和 Edge。保护 500+ 个品牌。AI 内容分析覆盖 100+ 种语言。

什么是 ClickFix

ClickFix 是一种伪装成 CAPTCHA 的社会工程学攻击。您打开一个页面(通常是破解软件网站、虚假 Cloudflare 验证页面、YouTube 视频描述中的链接,或者常见错误信息的搜索结果)。页面显示一个看起来真实的 CAPTCHA 复选框。您点击"验证您是真人"。却没有出现勾选标记,而是出现了以下指示:

  1. 按下键盘上的 Windows + R
  2. 按下 Ctrl + V 粘贴验证码。
  3. 按下 Enter 完成验证。

在您点击的瞬间,页面已悄悄将命令写入您的剪贴板。当您粘贴到运行对话框时,您正在执行一条 PowerShell 或 mshta 命令,该命令会下载第二阶段有效载荷:Lumma、RedLine 或 StealC 等信息窃取程序、加密货币钱包盗刷器,或远程访问木马。此攻击之所以称为 ClickFix,是因为攻击者将恶意软件包装成修复损坏 CAPTCHA 的"修复程序",而您亲手运行了它。

为什么聪明人也会中招

  • CAPTCHA 是背景噪音。您每天解决十次。您的大脑已不再阅读它们,只是直接点击。
  • 指示看起来像故障排查。按 Win+R、粘贴、Enter。这是正常的 IT 支持操作模式。没有任何迹象显示这是"恶意软件"。
  • Windows Defender 无法拦截它。是您自己在运行命令。从操作系统角度来看,一个人打开了运行对话框并输入了什么。这不是漏洞利用,这是正常使用。
  • 补丁毫无帮助。ClickFix 是 100% 的社会工程学攻击。安装了所有安全补丁的完全更新的 Windows 11 机器与 Windows 7 机器同样脆弱,因为没有任何漏洞被利用。

SafeBrowz 如何拦截

三层防护。前两层永久免费。第三层为 Premium。

1. 域名封锁列表

我们或威胁情报源见过的每个 ClickFix 投递域名都在一个每 6 小时刷新的封锁列表中。如果您点击了指向已知 ClickFix 页面的链接,SafeBrowz 会在 CAPTCHA 渲染之前阻止加载。没有点击,没有剪贴板污染,没有粘贴。

2. 内容模式检测

新的 ClickFix 域名每天都在涌现。对于我们从未见过的页面,SafeBrowz 会扫描渲染内容并标记特征:CAPTCHA 复选框与按下 Win+R、打开运行、打开终端或粘贴到 PowerShell 的指示相结合。AI 内容分析以 100+ 种语言读取页面,在您互动之前发出警告。

3. 剪贴板劫持防护(Premium)

ClickFix 之所以有效,是因为页面在您未按 Ctrl+C 的情况下写入您的剪贴板。Premium 用户获得一个防护功能,可检测未经提示的剪贴板写入,并在您确认之前阻止粘贴。如果您没有复制任何内容,运行对话框中就不会出现任何东西。

判断 ClickFix 页面的 4 个迹象

  1. CAPTCHA 要求您按下 Win+R、打开终端,或运行 PowerShell 命令。真实的 CAPTCHA 永远不会这样做。
  2. 页面说 CAPTCHA"失败",您需要运行"验证脚本"、"真人验证脚本"或"浏览器更新"。
  3. URL 看起来接近真实品牌,但您没有在那里注册,没有搜索它,而是通过随机链接、广告或视频描述到达的。
  4. 您检查剪贴板,发现其中包含以 powershell.exemshta.execmd.exe /ccurlcertutil 开头的内容。那是恶意软件,不是 CAPTCHA 令牌。

如果您已经运行了命令怎么办

假设已被感染。迅速行动。

  1. 断开互联网连接。拔掉网线,关闭 Wi-Fi。阻止正在进行的数据泄露并切断远程访问通道。
  2. 全面杀毒扫描。运行 Microsoft Defender 脱机扫描以及 Malwarebytes。如果可以,在安全模式下进行。
  3. 更改过去 24 小时内使用的每个密码。在干净的设备上操作,而不是在受感染的设备上。从电子邮件开始,然后是银行,然后是加密货币交易所,然后是其他所有账户。
  4. 撤销活跃会话并转移加密货币。登出 Google、Microsoft、GitHub、交易所上的每个活跃会话。如果您在那台机器上的热钱包中持有加密货币,请从干净的设备将资金转移到新钱包。请参阅我们的钱包防护指南了解盗刷恢复步骤。
  5. 监控银行和加密货币账户 48 小时。信息窃取程序会在数小时内出售凭证。留意未知登录、外出转账、新 API 密钥或双因素认证重置邮件。

常见问题

SafeBrowz 在 Mac 上有效吗?

有效。ClickFix 以 Windows 为主要目标,因为它滥用了运行对话框,但投递网站是网页,而这正是 SafeBrowz 拦截的内容。macOS 上的 Chrome、Firefox 和 Edge 获得相同的域名封锁列表和模式检测。在 ClickFix 页面上着陆的 Mac 用户会像 Windows 用户一样看到拦截界面。

免费版本能防护 ClickFix 吗?

可以。域名封锁和页面模式检测永久免费。这能拦截绝大多数 ClickFix 尝试,因为该技巧只有在页面加载并且您阅读了指示后才有效。Premium 剪贴板劫持防护是针对我们尚未见过的新投递域名的额外安全网。

我访问了 ClickFix 网站但没有按 Win+R。我安全吗?

安全。ClickFix 仅凭您查看页面无法执行代码。它需要您打开运行对话框(或终端)并粘贴剪贴板内容。如果您在此之前关闭了标签页,就没有任何东西运行。清除剪贴板以确保安全(复制任何无害文本),然后就可以了。

更多关于 ClickFix 战术和指标的详细分析请访问 SafeBrowz 博客,包括深度剖析文章《虚假 CAPTCHA ClickFix》

在点击前拦截 ClickFix

在 Chrome、Firefox 和 Edge 上永久免费。保护 500+ 个品牌,AI 内容分析覆盖 100+ 种语言,Premium 版本提供剪贴板劫持防护。

Chrome 添加到 Chrome Firefox 添加到 Firefox Edge 添加到 Edge

返回 safebrowz.com