Phishing Seite versucht Codeausführung per Copy and Paste : Captcha von Cloudflare soll mit der Tastatur gelöst werden

TPD-Andy

Folgende ist mir zufällig begegnet. Der Trick ist das angeblich ein Captcha von Cloudflare mit der Tastatur
gelöst werden soll durch drücken von Win+R und STRG+V (CTRL+V). Das ist eigentlich nichts neues, das verwenden von Captchas als Vorwand fällt leider nicht immer auf, deswegen auch andere weniger erfahrene Benutzer darauf hinweisen.

Win+R öffnet eine Kommandozeile und STRG-V fügt irgendwas aus der Zwischenablage ein was für den Benutzer nicht sichtbar ist.
Das funktioniert in allen Browsern in Windows oder Linux und im Prinzip auf jedem Gerät/OS/Browser welcher eine Zwischenablage hat solange die Tastaturkürzel nicht anders belegt sind.
Im der Windows Powershell oder dem XFCE4 Terminal erhält man deswegen auch eine Warnung nicht einfach Code oder Text unbedacht aus der Zwischenablage einzufügen.
heise online hat 2024 auch schon dazu geschrieben: IT-Sicherheitsforscher warnen vor neuer Angriffstechnik über die Zwischenablage
golem.de hat 2018 auch über eine POC auf GitHub für Browser berichtet: Codeausführung per Copy and Paste
Link zum POC auf GitHub: Pastejacking

Zitat

Keine Aktivierung durch Nutzer mehr erforderlich
Dass Browser auf die Zwischenablage zugreifen können, ist schon länger bekannt. Verschiedene Webseiten fügen von Nutzern kopierten Inhalten zum Beispiel eigene Informationen hinzu, etwa eine Beschreibung der Webseite oder die URL, von der der Inhalt kopiert wurde. Aktuelle Browser unterstützen die Funktion, auch Firefox-Nutzer müssen diese seit der Version 41 nicht mehr manuell über die user.js aktivieren. Die Funktion kann aber über about: preferences deaktiviert werden(öffnet im neuen Fenster).

Für den Angriff nutzt Dxa4881 die "paste"-Funktion von Document.exec.Command(). Fügt ein Nutzer Inhalte in die Zwischenablage ein, wird im Hintergrund automatisch ein Script(öffnet im neuen Fenster) gestartet, das die Zwischenablage mit dem gewünschten Inhalt überschreibt. Als Beispiel wird bei Github die ursprüngliche Eingabe echo "not evil" in echo "evil"\n geändert. Durch den Newline-Parameter wird der Code nach dem Einfügen in die Kommandozeile automatisch ausgeführt. Der PoC wird auch auf einer eigenen Webseite dokumentiert(öffnet im neuen Fenster).

Mira_Belle

Danke.
Sehr interessant!
Bei mir öffnet "Win + R" das kleine Ausführen-Fenster.
So weit klar.
Nur wie sollte das, was da aus der Zwischenablage, per "Strg + V", eingefügt wird,
unsichtbar bleiben?
Und wenn es doch unsichtbar ist, drücke ich dann auf "OK"
Wohl eher nicht Ich drücke bei so etwas immer auf "Abbrechen" oder eben auf das "X" für "Fenster schließen"

TPD-Andy

Mira_Belle Es wird genügend Personen geben die dann auf OK oder Bestätigen klicken, einfach weil das nicht so ohne weiteres erkennbar ist. Das ist der "Trick" am Social Engineering.

Mira_Belle

TPD-Andy Du hast mich wohl falsch verstanden!

Meine Intention ist, klickt nicht auf jeden Mist!
Und wenn "Ihr" Euch unsicher seid, eben auf "Abbrechen" oder einfach auf "Fenster schließen"!

Aber niemals nie nicht auf "Ausführen", "Bestätigen" oder "OK"