Comments 6
Не ужели, есть такие кто будет этот делать? Из моих знакомых, кто не разбирается в компах, не хватило бы ума это сделать(70+), а другим просто лень бы стало.... реально найдётся те кто это делает?
И правда больше похоже на "молдавский вирус".
Это нужно иметь клиента на windows. Тогда как большинство пользователей использует прилжение на телефне (скорее всего!).
Они массой берут. Если из 1000 или 10000 получателей спама пару человек осилят скомпилировать и запустить вирус у себя на компьютере по просьбе хакера, то уже хлеб :)
Оно автоматически копирует команду PowerShell в буфер обмена устройства, а затем предлагает пользователю открыть диалоговое окно «Выполнить» в Windows, вставить его и запустить. Код, скопированный в буфер обмена, загружает и выполняет скрипт PowerShell, который в конечном итоге загружает ZIP-файл по адресу http://openline[.]cyou.
Этот архив содержит множество файлов, включая identity-helper.exe [VirusTotal], который, как указывает комментарий на VirusTotal, может быть загрузчиком Cobalt Strike.
Да ладно, сколько подозрительных действий.
Я ожидала увидеть что-то вроде "сканируйте qr и вот у вас вирус на телефоне", а тут надо и скрипт выполнить, и архив распаковать, и запустить его. Всё же, знаете, autorun не в пример надёжнее.
Однако же такие атаки действительно довольно популярны в последнее время и судя по статистике процентов 10 человек все-таки умудряются на нее попасться. Архив распаковывать и что-либо запускать не нужно, в powershell скрипте уже это все выполняется самостоятельно. В зависимости от находчивости и навыков powershell злоумышленника жертва максимум увидит черное окно ненадолго и продолжит заниматься своими делами. Целевая аудитория таких атак, понятное дело, небольшая, но пока она есть, ей будут пользоваться
Этот метод уже лет 10 существует.
Хакеры используют капчу в Telegram, чтобы заставлять пользователей запускать скрипты PowerShell