SmartApeSG一次塞4款惡意軟件：用戶點了個假驗證碼

3月24日，一臺普通Windows電腦在17分鐘內連續中招4次。不是用戶反復點擊，而是一次"假驗證碼"操作引發的連鎖反應——這就是安全研究者最新追蹤到的SmartApeSG攻擊波。

Internet Storm Center當天記錄的完整時間線顯示：17:12，Remcos RAT上線；17:16，NetSupport RAT跟進；18:17，StealC開始外傳數據；19:35，Sectop RAT完成部署。四個獨立惡意程序，共享同一個入口。

這種"堆疊式投遞"正在改變防守方的計算方式——以前阻斷一次感染就行，現在得在17分鐘內連攔四道。

假驗證碼的真陷阱：ClickFix怎么讓用戶自己動手

SmartApeSG的入口設計得像極了日常辦公場景。攻擊者先黑掉正規網站，注入一段靜默腳本。訪客毫無感知，頁面已在后臺完成跳轉布局。

接下來出現的"人機驗證"頁面，視覺風格和真正的CAPTCHA幾乎一致。但這里的交互邏輯完全不同：頁面提示用戶"按Win+R，粘貼剪貼板內容，回車運行"。

「這相當于讓受害者自己把鑰匙交給攻擊者。」安全研究者在報告中寫道。用戶復制的是一段經過混淆的PowerShell或MSHTA腳本，粘貼到運行對話框后，感染鏈正式啟動。

整個過程沒有彈窗警告，沒有殺毒軟件攔截提示——因為命令是用戶親手輸入的。ClickFix（點擊修復）這個命名本身就帶著諷刺：用戶以為在"修復"訪問問題，實際在破壞自己的系統。

四款工具分工明確：從遠控到竊密的完整鏈條

SmartApeSG這次投遞的四個載荷各有專攻，組合起來覆蓋攻擊者需要的全部能力。

Remcos RAT和Sectop RAT（又稱ArechClient2）屬于典型的遠程控制木馬，支持鍵盤記錄、屏幕監控、文件操作。NetSupport RAT的情況更微妙——它本身是正規遠程支持軟件，但被攻擊者重新配置后，成了隱蔽的后門通道。

StealC則專注憑證收割：瀏覽器保存的密碼、Cookie、加密貨幣錢包、甚至即時通訊軟件的登錄狀態，都是它的目標。

staggered deployment（分批部署）的時間差設計很有講究。如果安全軟件在第一階段就觸發告警，后續三個載荷可能還沒落地；但如果防守方反應稍慢，四小時后就得面對四個并行運行的威脅。

更隱蔽的是載荷的"借殼"手法。Remcos、StealC和Sectop都用了DLL側加載：把惡意DLL和可信的合法可執行文件打包在一起，讓安全工具看到熟悉的簽名就放行。

NetSupport RAT連這招都省了——它直接以合法軟件身份運行，配置文件中藏著惡意指令。

同一批攻擊者的三個名字：追蹤標簽背后的混亂

安全社區給這組活動貼了多個標簽：SmartApeSG、ZPHP、HANEYMANEY。名字不同，但手法高度一致——都是先攻陷網站，再掛ClickFix假驗證碼，最后投遞多載荷。

這種命名碎片化在威脅情報領域很常見。不同廠商獨立發現、各自命名，后期才確認關聯。對防守方來說，意味著需要交叉比對多個情報源，才能拼出完整圖景。

這次3月24日的樣本之所以被重點記錄，在于它的"密度"——單一會話、四款惡意軟件、明確的時間戳。研究者得以用分鐘級精度還原攻擊流程，這在日常威脅狩獵中并不多見。

攻擊者顯然在測試效率極限：一個用戶失誤，能否在盡可能短的時間內完成最大化的工具部署？從結果看，答案是肯定的。

防守窗口被壓縮：從"攔截"到"搶時間"

傳統安全模型的假設是：感染發生后，有充足時間檢測、分析、響應。SmartApeSG的時間線把這個假設擊碎了。

17分鐘，四款工具全部就位。如果企業依賴端點檢測的批量掃描或人工研判，這個速度根本跟不上。更麻煩的是載荷的多樣性——針對Remcos的IOC（入侵指標）可能完全識別不出NetSupport的異常連接。

ClickFix本身也在進化。早期的版本還會用明顯的語法錯誤、粗糙的頁面設計暴露馬腳；現在的假驗證碼頁面，從字體到交互邏輯都高度仿真。用戶在沒有安全培訓的情況下，很難憑直覺識別。

企業端的緩解措施相對明確：組策略限制運行對話框的使用、剪貼板監控識別異常腳本內容、用戶培訓強調"永遠不要粘貼不明來源的代碼"。但落地執行始終是個老大難問題。

個人用戶的處境更被動。這次攻擊波針對的是普通網站訪客，沒有特定行業指向。任何人點擊了被黑掉的網站，都可能成為下一個17分鐘四連中的數據點。

研究者最后記錄的細節是：Sectop RAT在19:35完成部署后，持續運行了數小時才被發現。這段時間里，攻擊者已經通過四個并行通道，拿到了系統深處的訪問權限。