2025年10月8日（星期三）：Kongtuke攻击活动ClickFix页面感染分析

注意事项

压缩文件均受密码保护。值得注意的是，该网站采用了新的密码方案。有关密码信息，请参阅本网站的"关于"页面。

2025-10-08-IOCs-for-Kongtuke-activity.txt.zip - 2.2 kB (2,205字节)
2025-10-08-browser-cache-files.zip - 80.6 kB (80,642字节)
2025-10-08-initial-infection-traffic-from-Kongtuke-ClickFix-page.pcap.zip - 246.5 MB (256,480,955字节)
2025-10-08-traffic-after-rebooting-host.pcap.zip - 35.4 MB (35,364,980字节)
2025-10-08-files-exported-from-first-pcap.zip - 205.6 MB (205,609,176字节)
2025-10-08-files-found-under-AppData-directory.zip - 222.3 MB (222,303,224字节)
2025-10-08-scheduled-tasks.zip - 4.7 kB (4,680字节)

上图所示：在Wireshark中过滤出的感染流量。

上图所示：被入侵网站页面HTML中显示的注入Kongtuke脚本。

上图所示：由注入的Kongtuke脚本生成的虚假验证码页面。

上图所示：遵循Kongtuke攻击活动虚假验证码页面的指令执行过程。