有时候不得不佩服黑客这脑洞也是真够大的,竟然忽悠用户打开Windows运行然后在PowerShell执行命令来完成所谓的人机验证。这个问题最初来自Github,从上周开始不少Github用户收到电子邮件,邮件标题是他们的项目代码中存在严重的安全漏洞,点击链接可以查看详细信息。
当用户点击链接时(钓鱼网站地址:hxxps://github-scanner.com)钓鱼网站会自动弹出类似于GoogleCAPTCHA验证程序的提示。
如果点击我不是机器人选项,则网页弹出验证步骤:
按Windows徽标键+R(这是用来打开运行的)
按Ctrl+V(此时钓鱼网站的恶意代码已经被复制到剪切板中,按Ctrl+V就是粘贴)
按回车(用来执行恶意代码)
简单来说黑客通过这个钓鱼网站将预先安置的恶意代码放在脚本中,当用户打开网站时可以自动复制到剪切板(还有这种权限?),当用户按照步骤进行操作时实际上是在Windows中执行恶意代码。
这串恶意代码会打开WindowsPowerShell并执行,然后下载名为l6e.exe的恶意文件,该恶意文件在Virustotal.com上能够检索到,属于LummaStealer恶意软件家族。
如果代码被执行则这个恶意软件会窃取Windows上存储的各种凭据,看起来黑客是想盗窃凭据来登录受害者的各种账户看看有没有具有利用价值的信息。
不过这种钓鱼方式能不能骗到用户是个问题,毕竟Github上很多都是开发者,开发者们显然知道Win+R以及Ctrl+V后输入框自动填写一堆代码的潜在后果,所以这个骗局估计也没骗到多少开发者。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】