httpbnry/clickfix-malware-analysis

# 恶意软件分析 — 伪造 CAPTCHA / 加密挖矿木马活动 **⚠️ 警告** 本仓库包含**真实的恶意代码**，发布仅供网络安全教育与研究之用。 - 请勿在隔离环境（sandbox、VM、air-gapped）之外执行任何文件。 - 二进制文件（`flomo.exe`、`wpbooster`）**未包含在内**；仅提供其 SHA256 哈希值。 - 作者不对本材料的滥用承担责任。 ## 描述 针对多组件恶意软件活动的分析，该活动通过以下方式入侵 WordPress 站点： 1. **PHP 后门**（`wpbooster`）— 伪造的 WordPress 插件，用于注入伪造的 CAPTCHA。 2. **Linux 加密挖矿木马**（`wpbooster`）— 使用 UPX 加壳的 Monero (XMR) 挖矿程序，采用无文件执行。 3. **Windows 木马**（`flomo.exe`）— 被植入木马的 Electron 应用，具备反调试功能并会窃取 macOS 密码。 ## 结构 ``` / ├── README.md ├── INFORME.md ← Informe detallado del análisis ├── samples/ │ ├── wpboost.php ← Código fuente del backdoor WordPress │ └── extracted_js/ ← Fragmentos JS del troyano Electron │ ├── anti-debug.js │ ├── update-hijack.yml │ └── applescript.txt └── iocs/ ├── hashes.txt ← SHA256 de todos los archivos └── strings.txt ← IOCs y strings extraídos ``` ## 参考 - ClickFix / ClearFake 活动 - MITRE ATT&CK: T1505.003 (Web Shell), T1496 (Resource Hijacking)

标签：DAST, Web Shell, 云资产清单, 加密货币挖矿, 威胁情报, 密码窃取, 应用安全, 开发者工具, 恶意软件分析, 数据可视化, 逆向工程