最近,一个来自1995年的老生常谈再次被提起:千万不要在Windows运行命令栏中随意输入内容。这听起来像是常识,但对于那些不太懂电脑的人来说,却很容易中招。如今,一种既愚蠢又巧妙的恶意软件正在通过这种方式传播。
事情是这样的:当你浏览一个不太靠谱的网站,或者是一个对广告审核不够严格的普通网站时,可能会遇到一个验证码提示,要求你点击一个小方框来证明“我不是机器人”。这本无可厚非,但这次的情况有些不同——它并没有让你输入乱码文字或点击带有路灯的方块,而是给出了一个带编号的步骤列表,让你按照指示操作。
MalwareBytes实验室就发现了一个这样的验证码陷阱。它要求用户执行三个步骤:首先,按下Windows键+R;接着,按下Ctrl+V;最后,按下Enter键。如果你对Windows系统有一定了解,看到这里应该会警觉起来。这个所谓的“验证”弹窗,实际上是想让你打开Windows运行命令栏,粘贴网站通过JavaScript在你点击“我不是机器人”时偷偷放入剪贴板的一段文本,然后运行它。这种手段虽然狡猾,但只在Windows系统上有效,而且主要针对那些不太懂技术的用户。
不过,这个陷阱的巧妙之处在于:网站复制到你剪贴板的文本以“我不是机器人——reCAPTCHA验证ID:XXXX”或类似内容开头。巧合的是,这段文本正好填满了运行命令栏的宽度。你无法看到的是,在运行窗口范围之外,隐藏着一个触发Mshta命令的文本,它可以从网络服务器下载某个文件。
据MalwareBytes报告,这些文件通常伪装成媒体或HTML文件,但实际上是一种工具,用于在你的系统中搜寻个人信息并将其传回远程位置,或者就是一个传统的远程控制木马。
这种恶意软件的传播,依赖于人们对验证码验证的本能反应,以及对Windows系统操作的无知。这不仅困扰着那些不太懂技术的人,也让那些习惯于使用智能手机和平板电脑的年轻人更容易中招,因为他们对传统电脑操作往往不太熟悉。此外,运行命令窗口过时的用户界面和允许在不熟悉的网站上运行JavaScript的宽松安全设置,也为这种恶意软件提供了可乘之机。说到底,这种手段既愚蠢又有点聪明。
虽然基本的Windows 10或11安全功能可以在恶意文件下载时发出警报,浏览器安全功能也会对JavaScript进行验证,但MalwareBytes的研究人员表示,他们已经看到这种陷阱有多种变体,并且带有各种恶意负载。这说明,还是有人不小心中招了。
