今天是领导发了一个聊天软件的截图，一个工作人员发起了群聊，开启了全员禁言。群名为“京东购物补贴”，感觉应该是把自己权限能拉群的人都拉了进去。

实际上是他的电脑中毒，被远控，拉群发送钓鱼图片，要求大家扫码

钓鱼图片如下【各位想要复现，必须保证环境安全，别搞得自己被钓了】

二维码的url是：https://adobegpt.com/#/teach

钓鱼页面如下

Ctrl + U看看有没有向哪个url提交

 1<!doctype html>
 2<html lang="en">
 3  <head>
 4    <meta charset="UTF-8" />
 5    <link rel="icon" type="image/svg+xml" href="/vite.svg" />
 6    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
 7    <title>《2025年个人购物补贴》</title>
 8    <script type="module" crossorigin src="/assets/index-Dqx1ziiL.js"></script>
 9    <link rel="stylesheet" crossorigin href="/assets/index-D8NNqKCG.css">
10  </head>
11  <body>
12    <div id="app"></div>
13  </body>
14</html>

这里发现前端是个module引入，里面的js是混淆的

不过，我们访问钓鱼页面时就抓包，我按照顺序来分析一下所有请求包

攻击者申请了adobegpt的域名，目前微信和支付宝扫码未识别为恶意网址，未拦截

扫码后，首先访问了主域名，这个域名解析IP地址为149.104.15.92，微步显示为傀儡机IP

然后访问了https://adobegpt.com/assets/index-Dqx1ziiL.js，这个js将近两兆，很大。这个js就是负责页面显示和建立ws的

https://adobegpt.com/api/admin/templates/current请求可能是判断当前模板：

https://adobegpt.com/assets/wsCallbacks-EW0UM84j.js导入ws建立的提示消息：

https://adobegpt.com/assets/TeachPage-B5DhspEC.js应该是ws的建立

https://adobegpt.com/api/admin/popup/list这个居然是获取模板，他不仅有今年的个人购物补贴，还有财政补贴模板：

https://adobegpt.com/api/admin/templates/config/template-3调用模板三，也就是个人购物补贴模板：

随后调用四家IP显示网站的api（ipinfo.io、myip.com、ip.sb、ipify.org）来获取用户IP：

随后请求https://adobegpt.com/api/admin/user/getByIp?ip=受害者IP

返回：{ "code": 200, "msg": "操作成功", "data": [] }

这里我觉得是建立连接

https://adobegpt.com/api/admin/settings，这个返回了管理员的各种设置项：

这就耐人寻味了，没事请求这个干啥？难不成故意留漏洞让分析人员打站，实际是个蜜罐？

提交信息后，https://adobegpt.com/api/admin/user/update，提交了姓名、身份证和用户IP

请求https://adobegpt.com/assets/PhonePage-PdYzH4oS.js，是一个验证信息和注册用户的功能：

新页面：

期间经常有形如：https://admin.yhr73k.com.cn/ws/info?t=1744891847456

的ws信息请求。

状态码为101的请求是ws数据帧

这其中包括了我的IP和相关请求，最离谱的是，它居然能看到最近提交信息的受害者信息，比如我随便点开一条：

这就非常离奇了，可能这是个定时获取服务端的请求。而且持续在获取，也就意味着中招的人正在增加

在我提交虚假信息后，有请求https://adobegpt.com/api/admin/user/add：

这是添加了用户

然后加载了https://adobegpt.com/assets/Password-tMb0BWmg.js

跳转到了输入支付密码的页面：

填写后，有一个虚假的进度条，这就是上面js的功能：

然后让提交验证码：

https://adobegpt.com/api/admin/user/update增加了密码字段

然后https://adobegpt.com/assets/SmsPage-AzsMvOyO.js是验证码功能

里面居然有个星号的银行卡号：

我推测，这是用那个号码从某网银的忘记卡号那里获取的部分卡号信息，不过也有可能就是个假的。

然后就是

这些全是虚假的js内容，根本没有验证的，可以看到是加载了各种js生成的https://adobegpt.com/assets/LoadingPage-ClVFyRVL.js

甚至上面页面还在等待时，失败页面的js就已经请求好了https://adobegpt.com/assets/FailPage-B9BXODq1.js：

稍等一会就显示：

这里的联系方式就是乱写的了，点击重新提交，跳转到初始页面。

所以整个钓鱼流程就很清晰了

1. adobegpt.com域名可以由微信、支付宝扫码进入，未拦截
2. 受害者填写姓名、身份证
3. 输入手机号和补贴金额，这里实际上只传输了手机号过去，金额根本没有传递过去
4. 用户输入支付密码
5. 发送验证码，验证此手机号是否为真，不过这个验证码好像不会发送
6. 无论真不真都显示失败

所以这里推荐的封禁：149.104.15.92、adobegpt.com、yhr73k.com.cn

他那个ws实际上是监控受害者的行为，而且打印在控制台！

鼠标点击的每一步，任意一次访问都会发送的服务端

第一个页面里，返回了api接口，跟我们每一个钓鱼页面都对得上。这里访问photo页面

是一个上传照片的页面：

很可惜这里没找到上传木马的点。

直接访问success，他居然直接一个申请成功

没啥有技术的东西，纯属记录

记得封禁149.104.15.92、adobegpt.com、yhr73k.com.cn

对了yhr73k.com.cn就是一个虚拟域名服务商的资产