網路犯罪地下市場出現一款名為Venom Stealer的新型惡意軟體即服務（MaaS）平台，讓中低階攻擊者能輕鬆打造高度持久的ClickFix式社交工程攻擊。BlackFog研究團隊於3月23日發布報告指出，該平台不僅自動化從初始感染到憑證竊取、加密貨幣錢包劫持與資料外洩的整個流程，更整合即時持續監控機制，遠超傳統資訊竊取器。Venom Stealer每月訂閱費250美元，終身使用權1800美元，已在多個地下論壇積極推廣，對台灣醫療、政府、教育與企業用戶構成新威脅。

 

Venom Stealer由化名「VenomStealer」的開發者推出，主打「錢包提取的頂級掠食者」（Apex Predator of Wallet Extraction）。平台提供完整操作面板，讓攻擊者能自訂Windows與macOS攻擊流程，包含四種模板：假Cloudflare CAPTCHA、假作業系統更新、假SSL憑證錯誤與假字型安裝頁面。每種模板均引導受害者開啟「執行」對話框或終端機，複製貼上惡意指令後按Enter執行。

BlackFog創辦人兼執行長Darren Williams指出：「與Lumma、Vidar、RedLine等傳統竊取器不同，Venom Stealer不只是單次執行後離開，而是將ClickFix社交工程直接內建操作面板，自動化初始存取後的所有步驟，建立持續外洩管線。」

 

攻擊流程高度隱蔽：

 

最危險的是其持久化設計：初始感染後仍持續監控Chrome Login Data，即時捕捉新儲存憑證，破壞傳統「輪換憑證」的應變措施，大幅延長外洩窗口。Williams警告：「這讓判斷全面受侵害範圍變得極為困難。」

 

Venom Stealer還具備GPU加速錢包破解功能，自動破解MetaMask、Phantom、Solflare、Trust Wallet、Atomic、Exodus、Electrum、Bitcoin Core、Monero與Tonkeeper等熱門錢包。平台提供Cloudflare DNS自訂域名功能，讓操作面板網址永遠不會出現在指令中，進一步提升隱蔽性。

 

BlackFog指出，Venom Stealer雖是新興MaaS，但發展迅速，3月已多次更新，顯示背後營運團隊積極迭代。與傳統竊取器相比，其最大優勢是「一站式」自動化，讓即使技術不高的攻擊者也能發動高品質、持久性攻擊。

 

對台灣影響值得高度關注。台灣醫療、政府、教育與企業常透過電子郵件處理行政、法務與合約事宜，極易落入「版權侵權通知」或「系統更新」等ClickFix式社交工程陷阱。一旦感染，攻擊者可竊取內部系統憑證、病患資料、財務資訊或開發憑證，後續可能引發勒索、APT滲透或供應鏈攻擊。

 

BlackFog建議以下防護措施，台灣機構應立即落實：

 

Williams總結：「ClickFix攻擊正從小眾技術演變為主流威脅。Venom Stealer將其完全商品化，任何組織若未提升警覺與防護，極可能在不知不覺中成為受害者。」

 

隨著MaaS平台日益成熟，台灣企業與政府機關必須正視ClickFix式攻擊的快速演進。清晰的政策、嚴格的訓練與先進的行為偵測，是目前最有效的防線。否則，「看似合法」的通知，可能就是通往資料外洩的入口。

 

 

出處： 基於Dark Reading文章《Venom Stealer MaaS Platform Commoditizes ClickFix Attacks》，作者Elizabeth Montalbano，發布日期2026年4月1日；並參考BlackFog研究報告、Darren Williams分析，以及相關ClickFix與PureLog Stealer攻擊趨勢。