2025-12-29 ClickFix活动:伪装CAPTCHA页面传播NetSupport远控木马

本文详细分析了2025年12月29日观测到的恶意攻击活动。攻击者利用Google Sites页面作为初始入口,将用户重定向至伪造的CAPTCHA页面,并诱骗其执行ClickFix指令,最终下载并执行NetSupport远程访问木马(RAT)。报告包含攻击链、活跃URL、C2服务器通信流量及恶意文件哈希等信息。

2025-12-29 (周一):传播NetSupport RAT的ClickFix活动

关联文件:

  • 2025-12-29-IOCs-for-ClickFix-activity-sending-NetSupport-RAT.txt.zip – 1.3 kB (1,291 字节)
  • 2025-12-29-ClickFix-page-sends-NetSupportRAT.pcap.zip – 31.1 MB (31,083,644 字节)
  • 2025-12-29-NetSupport-RAT-malware.zip – 4.2 MB (4,216,672 字节)

说明:

  • 来自 sites.google[.]com 的初始URL此前曾分发Koi Loader/Koi Stealer恶意软件,最近一次活动持续到2025年7月。
  • 此后不久,这些初始的 sites.google[.]com URL开始导向不同的恶意软件。
  • 在此示例中,它们会导向一个带有ClickFix风格指令的伪造CAPTCHA页面,目的是传播NetSupport RAT。

来自VirusTotal的初始URL示例:

已失效:

  • hxxps[:]//sites.google[.]com/view/web3dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=9023475618
  • hxxps[:]//sites.google[.]com/view/web3dropbox/samsung-s22?sharefile=eStatement_12_2025.pdf&hid=6849201008

截至2025-12-29仍然活跃:

  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=8432105697
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=3445732677
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=7345891204
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=7856341209
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=6549032187
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=8459301276
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=6451230987
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=6409123785
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=7801234596
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=5901234876
  • hxxps[:]//sites.google[.]com/view/webview5dropbox/samsung-s22?sharefile=Estatament_12_2025.pdf&hid=5607893412

上述页面导向以下攻击链:

  1. hxxps[:]//ivanstonework[.]com/ <– 302重定向
  2. hxxps[:]//extracareliving[.]com/ <– 带有ClickFix指令的伪造CAPTCHA页面

运行伪造CAPTCHA页面中ClickFix文本后产生的流量:

  • hxxp[:]//80.253.249[.]145/wwww.txt
  • hxxp[:]//80.253.249[.]145/F.GRE

NetSupport RAT C2通信流量(HTTP POST请求):

  • DNS查询域名 relativegoingplanning[.]net
  • 185.39.19[.]96:443 – 重复发送POST请求至 hxxp[:]//185.39.19[.]96/fakeurl.htm
  • 注意: C2流量中包含一个发送至 104.21.96[.]46 的HTTP POST请求,但该IP是域名 relativegoingplanning[.]net 的Cloudflare地址,仅在开始时出现了一次。104.21.96[.]46 并非实际的C2服务器。

包含恶意NetSupport RAT包的RAR压缩文件:

  • SHA256哈希: b307ac3b95e5ab4bcbff92816d1f361950e6b41abeb960dcd983f3b18512f7a0
  • 文件大小: 1,903,624 字节
  • 文件类型: RAR存档文件,版本5
  • 文件路径: C:\Users\Public\bKp7gb7dSo\2.rar

截图说明

  1. 上方截图:sites.google[.]com 上的初始URL示例。
  2. 上方截图:勾选复选框后,显示的伪造CAPTCHA页面。
  3. 上方截图:伪造CAPTCHA页面中的ClickFix指令。
  4. 上方截图:Wireshark中过滤出的感染过程流量。
  5. 上方截图:NetSupport RAT在受感染主机上的持久化驻留。

点击此处返回主页。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次