Pwn 媛没见着，Pwn 猿早就有了

继佛媛、菜媛之后，网上会不会出现 Pwn 媛？大概不可能，毕竟 pwn 谐音不太讨喜。不过，这几天某不存在的社交媒体上冒出来一个 pwn 猿，倒是狠狠搅了一通混水。

做自己的网红经纪人

前几天在网上刷到一个人，发了一套所谓的反编译系统镜像。截图却是平平无奇，把安装包（ipsw）里的系统镜像 dmg 挂载上硬盘的效果。一台普通的 mac 就可以做。

刚看到时心想，这人不会是个傻子，在自嗨吧？连刷到好几次辣眼睛，赶紧把他屏蔽（mute）了。

现在系统固件文件系统又没加密，哪门子的 exclusive。我的天。

分析固件文件系统的东西一搜一大把，本质上就是解压 zip 包然后挂载一个 dmg。不支持 APFS 的系统还可以装 fuse 驱动。WSL 都可以做。

过了几天这货又出来吓人了，说要扔远程代码执行 0day。因为 Zerodium 不收，很生气。

这下引来了一大群围观群众，以至于我的 mute 过滤都不管用了。

接着这人录制了一份据说剪辑很精美的视频（我没看，就知道是浪费时间），浪费了不少人生命中宝贵的半小时。内容就把手机物理连接电脑，解锁密码信任，然后把一个网页 AirDrop 到手机上打开，web 后端通过局域网调用 libimobiledevice 给手机删应用……

但是有些不搞技术的人倒是挺吃这一套，毕竟有很多 eta kids 天天盼着能解锁手机。流量这不就来了。

这可以叫 pwn 猿了吧……

搞一套 YouTuber 的装备摆拍，搞个大新闻，再找几个人一唱一和吸粉。被当面扒皮还可以面不改色。

他还放出了一份所谓的 PoC 代码，我当然也明智地没浪费时间去看。有课代表总结，就是个 WebSocket 遥控器，调用 nodejs 后端执行一个 shell 脚本。

这个项目的 issue 马上被观光团光顾。现在被删得只剩下两页，但是 issue id 已经刷到两千三百多了。看来群众感觉上当受骗也很愤怒，谁叫你们要看呢……不过这么说来，我也浪费了生命中宝贵的一小时水这篇文章。

最搞笑的是还被人挖出来虽然他所谓手机 RCE 是假，放出的 poc 代码后端倒是真真切切有一个远程 0click 的命令注入。

真是闲的。

也不知道这哥们图什么。开 podcast，收打赏，或者直播带货？

这并是第一个在安全圈的社交媒体积极营业的骗子。

所谓的 Yushi Liang 和 Alexander Kochkov

2018 年下半年，两个一唱一和的账号 @Yux1xi 和 @alexkochkov，经常在网上发一些浏览器弹计算器的视频。

当年不谙世事的我也 fo 了其中一个人。虽然总觉得这个用拼音名写的 profile 说话完全没有会中文的感觉，有些奇怪。

相关账号早就封了，压箱底翻出来的图：

用 follower 混脸熟做背书还挺成功：

之后一个受害者发帖，才揭开了这人的真实目的。

骗子注册了不止这两个社交账号，一唱一和营造技术高手人设。接下来通过聊天工具和受害者取得联系，声称提供浏览器安全技术培训。看受害者还在上学的份上就优惠点，只要 300 刀。其实任何一个安全会议的闭门培训都不可能有这么低的价格。

受害者信以为真，就按照骗子给的某电汇地址打过去。骗子收到钱之后马上人间蒸发，受害者恍然大悟。

这就是初级版的杀猪盘啊。其实在 Google 搜索电汇提供商的名字 + 诈骗，可以找到世界各地五花八门的案子。

受害者还是具备一些网络知识，根据电汇留下的信息，人肉搜索到了很有可能是骗子本人的信息和照片。骗子可能是一个摩洛哥人。但无论怎样，钱款已经无法追回。

要你命三千

不知道接下来这伙人有没有收到 Yushi Liang 的启发。2020 年到 2021 年初的一段时间里，一些账号以技术研究的名号活跃在社交媒体上：

图自 Google TAG

最著名的是 Zhang Guo 和 James Willy 这两个。

由于有前车之鉴，Zhang Guo 这个账号从各种发言来看都不像是能说中文的人，我就觉得有古怪。不过我当时确实没认出 James Willy 也有问题，重点是他还私信找过我，还好只是出于礼貌回复了一下。

他们在网上有板有眼地写了技术博客，时不时发布一些号称是弹计算器的录屏。

2021 年一月底，Google 的威胁情报分析小组（TAG）发布了一篇报告，指出这一群账号背后实际上是 APT 组织，是一起专门针对安全技术社区发起的社会工程学攻击。而这几个社交账号也被举报关闭。

blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

攻击者挑选目标之后私信联系，声称自己有未完成的研究代码，可以共享合作分析。攻击者发送的附件是一个恶意的 Visual Studio 工程，只要编译就会执行恶意的命令下载木马。

也有报告称这个团伙当时还具有 Chrome 和 IE 11 的 full chain 0day，只需要打开他们发送的链接就会被感染。国内甚至有因此中招的研究员。

ENKI 对他们所用到的 IE 11 漏洞做了分析，这个漏洞已被修补：

enki.co.kr/blog/2021/02/04/ie_0day.html

有人猜测，浏览器相关的漏洞最早是通过 Visual Studio 工程植入的后门，从安全研究员处窃取而来。是真是假就不得而知。

未完待续

James Willy 被封号是年初的事情。其实有迹象怀疑这伙人还在玩社会工程学，已经有疑似的账号出现。截止本文编辑时间仍然处于活跃状态，也有不少圈内大 v 在关注。由于没有实锤证据，就不说具体是哪一个。

提示一下，之前那伙人为了获取背书，会发布一些真实的技术文章，主要集中在 Chrome 和 Windows 方向。

大家上网冲浪，还是要多加小心。

比起在网上刷存在感的娱乐博主，这帮不是为了骗钱就是要黑你电脑的人显然更恐怖。