目录导航
reCAPTCHA phish简介
这是用于重现 2024 年 8 月-9 月左右在野外发现的社会工程和网络钓鱼诱饵的小型工具。
攻击原理
最初以“验证您是人类”为幌子,攻击媒介是复制和粘贴。
它实际上指示用户使用快捷键Win+R打开 Windows 运行对话框,并让他们粘贴Ctrl+VWeb 浏览器已预先复制到剪贴板中的恶意命令。
尽管这很愚蠢,但它可能有效。
根据Twitter上的一些讨论,这些显然被称为“ClickFix”或Emmenhtal , Unit42、Orange Cyberdefense、Huntress和其他组织观察到的LummaStealer活动中曾使用过它们。
Tonmoy Jitu 还写了一篇甜蜜的文章,介绍了原始诱饵
考虑到原始版本旨在模拟reCAPTCHA表单,我认为这种“技巧”(如果你敢这么称呼它的话)可以改进。😈
为什么不让它看起来尽可能接近真正的 reCAPTCHA 按钮?
这个存储库包含了一些我根据这个想法编写的代码。
实际上,您所需要的只是index.html。它将 CSS 和 JavaScript 包含在单个文件中以方便使用,但可能需要进一步自定义才能更改运行的命令(请参阅showVerifyWindow函数末尾的 JavaScript)。这可以用作独立文件并运行任何本地命令,但为了在代码执行方面获得更大的灵活性,此存储库包含一个示例 HTA 文件,recaptcha-verify用于弹出 Windows 计算器应用程序的无害概念证明。这个辅助 HTA 文件意味着它需要托管在服务器端,或者有其他支持基础设施来提供有效载荷。
为了快速进行本地测试,我实际上只是使用了python -m http.server 8000。
HTA 文件还为您提供了进行更具说服力的伪装的机会,可能会弹出一个窗口“尝试连接到 reCAPTCHA 服务器”,但声明失败并提示用户重新执行此操作。🤪 (有人有额外的回调吗?)
因此,这款游戏还有一些额外的好处:
- 看起来和感觉起来像“真正的” reCAPTCHA(图片来自 Google 官方网站)
- 在运行框中验证“隐藏”命令(✅ “我不是机器人 – reCAPTCHA 验证 ID:7624”)
- 禁用“验证”按钮以进一步鼓励用户完成复制粘贴步骤。🚫
- 通过后续窗口“验证失败”来充实网络钓鱼
- 清除剪贴板以便删除有效载荷命令。
部分代码重用自https://github.com/75a/fake-captcha
其他思考
- 也许这可以在元素内使用
iframe,或者很容易地嵌入到任何地方作为小部件。 - 也许这可以有更多的服务器端控制来检查客户端的用户代理并采取不同的行动,或适当地调整有效负载。
- 也许可以将其转变为一个简单的 Github Pages 或 Vercel tidbit,以便轻松拥有公共领域和简单的工具
此外,仅限 EdyUkAYshuNaL PoRpoiSes!!!11 🐬
项目地址
GitHub:
https://github.com/JohnHammond/recaptcha-phish
使用截图
本地启动http服务进行访问
粘贴回车后将会弹出Google验证码并执行如下命令:
cmd.exe /c start https://www.ddosi.org
上线cobalt strike
recaptcha-verify文件中的命令修改为其他即可成功上线。
下载地址
https://github.com/JohnHammond/recaptcha-phish/archive/refs/heads/main.zip
转载请注明出处及链接