Falsk CAPTCHA Tvinger Brugere til at Køre Malware Forklædt som Verifikationstekst

Vildledende CAPTCHA-sider Implementerer Skjult Malware Ved Brug Af Windows Run Exploit

Cybersikkerhedsanalytikere i New Jersey advarede om en alarmerende malware-ordning denne uge, der målrettede regeringsansatte gennem bedrageriske CAPTCHA-udfordringer. New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) afslørede den 20. marts, at angriberne sendte e-mails til statsansatte, der indeholdt links til vildledende eller kompromitterede hjemmesider, der udgav sig for at være sikkerhedstjek. Ifølge NJCCIC:

E-mailsene indeholder links, der dirigerer mål til ondsindede eller kompromitterede hjemmesider og opfordrer til vildledende CAPTCHA-bekræftelsesudfordringer.

Disse udfordringer var designet til at narre brugere til at køre farlige kommandoer, der i hemmelighed installerede SectopRAT-infostealeren.

Metoden var særligt sofistikeret, idet den brugte et trick baseret på udklipsholderen til at skjule sin hensigt. Ofre, der klikkede på linket, blev ledt til en falsk CAPTCHA-side, der automatisk kopierede en kommando. Hjemmesiden instruerede derefter brugerne i at indsætte kommandoen i Windows Kør-dialogen som en del af en formodet verificeringsproces. Selvom den sidste del af den indsatte tekst lignede en standardbesked—“Jeg er ikke en robot – reCAPTCHA Verification ID: ####”—udløste udførelsen af kommandoen faktisk mshta.exe, en legitim Windows-eksekverbar, der bruges til at hente og køre malware forklædt som almindelige filtyper.

NJCCIC sporede kampagnen til kompromitterede sider, der brugte bredt adopterede værktøjer: “Yderligere analyse indikerede, at de identificerede kompromitterede hjemmesider brugte teknologier som WordPress Content Management System (CMS) platformen og JavaScript-biblioteker.”

Undersøgelsen afdækkede også en forsyningskædekomponent, der målrettede autodistributionshjemmesider via en kompromitteret videotjeneste. Inficerede besøgende risikerede at downloade den samme infostealer. I mellemtiden dokumenterede cybersikkerhedsforskere relaterede operationer, der distribuerede andre mallware-typer:

Forskere opdagede også lignende falske CAPTCHA-malwarekampagner, der implementerede Lumma og Vidar-infostealere og skjulte rootkits. Legitime CAPTCHA-bekræftelsesudfordringer validerer en brugers identitet og kræver ikke, at brugere kopierer og indsætter kommandoer eller output i en Windows Kør-dialogboks.

Myndighederne rådede systemadministratorer til at opdatere software, styrke CMS-legitimationsoplysninger og rapportere hændelser til FBI’s Internet Crime Complaint Center og NJCCIC.