最近有人在Github上发布了一个新的PowerShell脚本，这段脚本会提示用户，让他们输入登录凭证，等确定用户输入的凭证正确后，该脚本就会将登录凭证发送到远程服务器，这就允许攻击者通过受害者来传播脚本并获取域登录凭证。

Github上的脚本说明

此Github脚本使用了Get-Credential PowerShell cmdlet来显示登录提示，要求用户输入其凭证。当用户输入他们的凭证时，脚本将尝试利用受害者的域进行身份验证，如果验证成功，则会将凭证发送到远程服务器。如果输入的凭证不正确，脚本将不断提示用户输入凭证。

此时，终止输入提示的唯一方法是打开任务管理器，查找名为“Windows PowerShell”的进程，然后终止它。

任务管理器

值得庆幸的是，此特定脚本显示的登录提示可以很容易地被发现，因为警报标题为“Windows PowerShell凭证请求”，并且将包含一个带有一组密钥的蓝色区域，如下所示。

默认获取凭证提示

问题是，这个警报的标题可以通过使用稍微不同的PowerShell cmdlet来更改，所以出于安全考虑，我将不在这里分享。通过使用不同的命令，攻击者可以进一步自定义登录提示，使其更有迷惑性。

如下图所示，就是我创建的一个伪装成Windows Defender的提示，并要求用户登录才能对计算机进行清理。

自定义的凭证提示

尽管有安全经验的计算机用户仍然可能会发现此提示非常可疑，但很多人可能认为这是合法的进程，并按提示输入登录名和密码。

值得庆幸的是，尽管标题可能会被更改，但提示本身仍包含蓝色区域及其中的一组输入内容。因此，如果你看到有提示询问你的用户名和密码，并且提醒看起来与上述界面类似，请谨慎输入你的凭证。