Ich sehe regelmäßig (=mehrmals/Woche), wie User mittels falschen Captchas (=ClickFix) dazu gebracht werden mittels mshtma (warum gibts das eigentlich noch?) und/oder PowerShell entsprechended Code auf ihren Maschinen auszuführen. Es gibt mittlerweile schon so viele verschiedene Captcha-Arten, und die Leute sind seit Jahren daran gewohnt es einfach nur aus dem Weg zu bekommen, dass sie "Press Windows+R and paste the clipboard to fulfill the Captcha" nicht direkt hinterfragen.
Anmerkung der Redaktion: Er meint mshta ohne m, und ein LOLBIN ist ein bei Windows beiliegendes Binary, das "Dinge tun kann" und sich für "Living off the Land" eignet.
Auch AnyDesk-Sessions und Co. nach einem entsprechendem Browser-Popup oder einer Teams-Nachricht von jemandem mit dem Display-Namen "IT-Support" von einem externen Account sind keine Unikate.Beides Beispiele, wo man nicht schon im System sein muss und LOLBIN involviert ist. Allerdings sollte ein halbwegs brauchbares EDR-Tool das trotzdem erkennen bzw. wäre es mit anderen Maßnahmen verhinderbar.
Und um der Frage vorwegzugreifen: Ich bin bei einem MSSP, dementsprechend können wir unseren Kunden nur Empfehlungen aussprechen, die solche Dinge verhindern. Die Umsetzung (oder besser gesagt der Mangel selbiger) hängt ultimativ vom Kunden ab.
Ich muss ehrlich sagen, dass ich noch nie von so einem Captcha auch nur gehört habe. Hat jemand einen Screenshot von sowas? Sehr lustig!
Die Leute haben sich alle gegenseitig verdient, wenn ihr mich fragt. Ist wie dieser Sumpf im Herrn der Ringe. Überall Leichen und du stakst so rüber und denkst dir: Hey, damit interagiere ich jetzt mal! Was kann da schon passieren?
Außerdem: Na ein Glück, dass ihr Teams eingeführt habt! Das war ja ein echter Gewinn dann!
Komm erzähl mir mehr über den durchschlagenden Erfolg eurer Cloudstrategie!
Wieso haben die Leute Anydesk auf dem Rechner?! Wieso können sie Shell-Kommandos ausführen?
Noch ne Frage drängt sich auf: Empfehlt ihr den Leuten den Windows-Ausstieg? Oder habt ihr tolle Tipps für Schmerzmitteln, damit sie noch ein bisschen länger leiden können?
Update: Hier gibt es Screenshots von solchen Fake-Captchas.
Update: Hahaha das gibt es auch für Unix!
To protect the wiki against automated account creation, we kindly ask you to answer the question that appears below (more info):
What is the output of: LC_ALL=C pacman -V|sed -r "s#[0-9]+#$(date -u +%m)#g"|base32|head -1