خداع صفحات CAPTCHA المزيفة المستخدمين لإدخال أوامر ملغومة بالبرمجيات الضارة في “ويندوز ران” مما يؤدي إلى شن هجمات صامتة تقوم بتنصيب برمجيات سرقة المعلومات دون اكتشافها.
CAPTCHA المزيف يجبر المستخدمين على تشغيل برامج ضارة متخفية كنص تحقق
نُشر هذا المقال قبل أكثر من عام. قد لا تكون بعض المعلومات حديثة.
بقلم
مشاركة
صفحات CAPTCHA خادعة تنشر برمجيات ضارة خفية باستخدام ثغرة “ويندوز ران”
أبلغ محللو الأمن السيبراني في نيو جيرسي عن مخطط برمجيات ضارة مقلق هذا الأسبوع يستهدف موظفي الحكومة من خلال تحديات CAPTCHA الاحتيالية. كشفت خلية التكامل الأمني السيبراني والاتصالات في نيو جيرسي (NJCCIC) في 20 مارس أن المهاجمين أرسلوا رسائل إلكترونية إلى عمال الدولة تحتوي على روابط لمواقع خداعية أو تم اختراقها تقدم نفسها كتحقق أمني. ووفقاً لـ NJCCIC:
تحتوي الرسائل الإلكترونية على روابط توجه الأهداف إلى مواقع خبيثة أو مخترقة وتطالب بتحديات تحقق CAPTCHA خادعة.
تم تصميم هذه التحديات لخداع المستخدمين لتشغيل أوامر خطيرة تقوم بتثبيت برمجية SectopRAT لسرقة المعلومات بشكل سري.
كانت الطريقة متقدمة بشكل خاص، حيث استخدمت خدعة قائمة على الحافظة لإخفاء نيتها. المستخدمون الذين نقروا على الرابط وُجهوا إلى صفحة CAPTCHA مزيفة نسخت تلقائياً أمراً. بعد ذلك أرشد الموقع المستخدمين للصق الأمر في مربع حوار “ويندوز ران” كجزء من خطوة تحقق مزعومة. بالرغم من أن الجزء الأخير من النص الملصق كان يبدو كنص قياسي — “أنا لست روبوتاً – معرف التحقق من reCAPTCHA: ####” — إلا أن تنفيذ الأمر أطلق mshta.exe، وهو تطبيق ويندوز شرعي يستخدم لجلب وتشغيل البرمجيات الضارة المتنكرة في أنواع ملفات شائعة.
تتبعت NJCCIC الحملة إلى مواقع مخترقة تستخدم أدوات مستخدمة على نطاق واسع: “أشارت التحليلات الإضافية إلى أن المواقع المخترقة المحددة استخدمت تقنيات مثل منصة إدارة المحتوى ووردبريس ومكتبات JavaScript.”
كما كشفت التحقيقات عن عنصر سلسلة توريد يستهدف مواقع وكلاء السيارات عبر خدمة فيديو مخترقة. الزائرون المصابون تعرضوا لخطر تنزيل نفس البرمجيات الضارة. في الوقت نفسه، وثق الباحثون الأمنيون عمليات ذات صلة توزع أنواعاً أخرى من البرمجيات الضارة:
اكتشف الباحثون أيضاً حملات برمجيات ضارة مماثلة تستخدم CAPTCHA المزيفة لنشر برمجيات Lumma وVidar لسرقة المعلومات والجذور الخفية. تحديات تحقق CAPTCHA الشرعية تتحقق من هوية المستخدم ولا تطلب من المستخدمين نسخ ولصق الأوامر أو الإخراج في مربع حوار “ويندوز ران”.
نصح المسؤولون مديري الأنظمة بتحديث البرمجيات، وتقوية بيانات اعتماد CMS، والإبلاغ عن الحوادث إلى مركز شكاوى الجريمة عبر الإنترنت التابع لمكتب التحقيقات الفيدرالي وNJCCIC.
