"剪贴板劫持"攻击:黑客利用虚假验证码通过入侵网站窃取数据
字数 1386 2025-08-29 08:29:36

剪贴板劫持攻击(KongTuke)技术分析与防御指南

一、攻击概述

KongTuke是一种新型复杂攻击链,通过入侵合法网站实施"剪贴板劫持"(又称"粘贴劫持")攻击。该攻击利用虚假验证码(CAPTCHA)页面诱骗用户执行恶意脚本,可能安装未知恶意软件。

二、攻击链详细分析

1. 初始感染阶段

  • 攻击入口:被注入恶意脚本的合法但存在漏洞的网站
  • 示例脚本hxxps://lancasternh[.]com/6t7y.js
  • 重定向机制:初始脚本会将用户重定向至二级脚本(如hxxps://lancasternh[.]com/js.php)

2. 信息收集阶段

恶意脚本会收集以下受害者设备信息:

  • IP地址
  • 浏览器类型
  • 来源数据
  • 数据编码方式:base64格式

3. 欺骗性验证码页面

  • 伪装成"验证您是人类"的CAPTCHA页面
  • 实际功能:剪贴板劫持而非身份验证
  • 技术实现:向受害者剪贴板注入恶意PowerShell脚本
  • 社会工程:指示用户通过Windows运行窗口粘贴并执行该脚本

三、网络流量与感染后活动

1. 初始网络请求

  • GET和POST请求发送至同一IP地址
  • 后续连接域名示例:
    • ecduutcykpvkbim[.]top
    • bfidmcjejlilflg[.]top
  • 托管IP:185.250.151[.]155:80

2. 命令与控制(C2)通信

  • C2域名:8qvihxy8x5nyixj[.]top
  • 连接地址:173.232.146[.]62:25658
  • 通信协议:TLSv1.0 HTTPS流量

3. 地理位置数据收集

  • 使用的服务:
    • api.ipify[.]org
    • ipinfo[.]io
  • 收集的数据:
    • 城市
    • 地区
    • 国家

四、攻击特征分析

1. 与已知威胁的相似性

  • 感染后流量模式与AsyncRAT远程访问木马相似
  • 最终恶意软件载荷尚未确定(截至2025年4月)

2. 攻击隐蔽性特点

  • 利用被入侵的合法网站增加信任度
  • 模仿常规验证流程降低用户警惕性
  • 使用看似无害的验证码作为攻击载体

五、防御措施

1. 用户防护建议

  • 验证码识别
    • 合法验证码通常只需简单任务(如图片选择)
    • 警惕要求复制粘贴代码的"验证"请求
  • 系统安全
    • 保持操作系统和软件更新
    • 使用强大的防病毒软件
    • 避免点击可疑链接
  • 剪贴板使用
    • 对要求粘贴并执行代码的情况保持高度警惕
    • 定期清空剪贴板敏感内容

2. 企业防护建议

  • 网站安全
    • 定期检查网站代码是否被篡改
    • 及时修补网站漏洞
  • 网络监控
    • 监控对可疑域名的连接尝试
    • 特别关注文中提到的IoC(入侵指标)
  • 员工培训
    • 提高对新型社会工程攻击的认识
    • 建立安全操作规范

六、入侵指标(IoC)

1. 恶意域名

  • lancasternh[.]com
  • ecduutcykpvkbim[.]top
  • bfidmcjejlilflg[.]top
  • 8qvihxy8x5nyixj[.]top

2. 恶意IP地址

  • 185.250.151[.]155
  • 173.232.146[.]62

3. 相关脚本

  • 6t7y.js
  • js.php

七、研究参考

该攻击由Palo Alto Networks旗下Unit 42团队的Bradley Duncan发现并分析,报告发布于2025年4月4日。网络安全社区使用#KongTuke标签追踪此攻击活动。

剪贴板劫持攻击(KongTuke)技术分析与防御指南 一、攻击概述 KongTuke 是一种新型复杂攻击链,通过入侵合法网站实施"剪贴板劫持"(又称"粘贴劫持")攻击。该攻击利用虚假验证码(CAPTCHA)页面诱骗用户执行恶意脚本,可能安装未知恶意软件。 二、攻击链详细分析 1. 初始感染阶段 攻击入口 :被注入恶意脚本的合法但存在漏洞的网站 示例脚本 : hxxps://lancasternh[.]com/6t7y.js 重定向机制 :初始脚本会将用户重定向至二级脚本(如 hxxps://lancasternh[.]com/js.php ) 2. 信息收集阶段 恶意脚本会收集以下受害者设备信息: IP地址 浏览器类型 来源数据 数据编码方式:base64格式 3. 欺骗性验证码页面 伪装成"验证您是人类"的CAPTCHA页面 实际功能:剪贴板劫持而非身份验证 技术实现:向受害者剪贴板注入恶意PowerShell脚本 社会工程:指示用户通过Windows运行窗口粘贴并执行该脚本 三、网络流量与感染后活动 1. 初始网络请求 GET和POST请求发送至同一IP地址 后续连接域名示例: ecduutcykpvkbim[.]top bfidmcjejlilflg[.]top 托管IP: 185.250.151[.]155:80 2. 命令与控制(C2)通信 C2域名: 8qvihxy8x5nyixj[.]top 连接地址: 173.232.146[.]62:25658 通信协议:TLSv1.0 HTTPS流量 3. 地理位置数据收集 使用的服务: api.ipify[.]org ipinfo[.]io 收集的数据: 城市 地区 国家 四、攻击特征分析 1. 与已知威胁的相似性 感染后流量模式与AsyncRAT远程访问木马相似 最终恶意软件载荷尚未确定(截至2025年4月) 2. 攻击隐蔽性特点 利用被入侵的合法网站增加信任度 模仿常规验证流程降低用户警惕性 使用看似无害的验证码作为攻击载体 五、防御措施 1. 用户防护建议 验证码识别 : 合法验证码通常只需简单任务(如图片选择) 警惕要求复制粘贴代码的"验证"请求 系统安全 : 保持操作系统和软件更新 使用强大的防病毒软件 避免点击可疑链接 剪贴板使用 : 对要求粘贴并执行代码的情况保持高度警惕 定期清空剪贴板敏感内容 2. 企业防护建议 网站安全 : 定期检查网站代码是否被篡改 及时修补网站漏洞 网络监控 : 监控对可疑域名的连接尝试 特别关注文中提到的IoC(入侵指标) 员工培训 : 提高对新型社会工程攻击的认识 建立安全操作规范 六、入侵指标(IoC) 1. 恶意域名 lancasternh[.]com ecduutcykpvkbim[.]top bfidmcjejlilflg[.]top 8qvihxy8x5nyixj[.]top 2. 恶意IP地址 185.250.151[.]155 173.232.146[.]62 3. 相关脚本 6t7y.js js.php 七、研究参考 该攻击由Palo Alto Networks旗下Unit 42团队的Bradley Duncan发现并分析,报告发布于2025年4月4日。网络安全社区使用#KongTuke标签追踪此攻击活动。