Gefälschte CAPTCHA-Seiten täuschten Benutzer, um mit Malware versehene Befehle in das Windows-Ausführen-Fenster einzufügen, was heimliche Angriffe auslöste, die Infostealer unbemerkt bereitstellten.
Gefälschtes CAPTCHA zwingt Benutzer, Malware auszuführen, die als Verifizierungstext getarnt ist.
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
Listige CAPTCHA-Seiten setzen Tarnkappen-Malware über Windows-Ausführen-Exploit ein
Cybersicherheitsexperten in New Jersey warnten diese Woche vor einem alarmierenden Malware-Schema, das auf Regierungsmitarbeiter durch gefälschte CAPTCHA-Herausforderungen abzielt. Die New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) veröffentlichte am 20. März, dass die Angreifer E-Mails an Staatsangestellte sendeten, die Links zu trügerischen oder kompromittierten Websites enthielten, die sich als Sicherheitsüberprüfungen ausgaben. Laut NJCCIC:
Die E-Mails enthalten Links, die die Ziele auf bösartige oder kompromittierte Websites weiterleiten und trügerische CAPTCHA-Verifizierungschallenges anfordern.
Diese Herausforderungen waren darauf ausgelegt, Benutzer dazu zu verleiten, gefährliche Befehle auszuführen, die heimlich den SectopRAT-Infostealer installierten.
Die Methode war besonders raffiniert und nutzte einen trickbasierten Mechanismus zur Verschleierung ihrer Absicht. Opfer, die auf den Link klickten, wurden zu einer gefälschten CAPTCHA-Seite weitergeleitet, die automatisch einen Befehl kopierte. Die Website wies die Benutzer dann an, den Befehl in das Windows-Ausführen-Dialogfeld als Teil eines angeblichen Verifizierungsschritts einzufügen. Obwohl der letzte Teil des eingefügten Textes wie eine Standardnachricht aussah—„Ich bin kein Roboter – reCAPTCHA-Verifizierungs-ID: ####“—führte die Ausführung des Befehls tatsächlich mshta.exe aus, ein legitimes Windows-Programm, das verwendet wird, um Malware zu beziehen und auszuführen, die in gängigen Dateitypen getarnt ist.
NJCCIC verfolgte die Kampagne zu kompromittierten Websites, die weit verbreitete Werkzeuge verwendeten: „Weitere Analysen ergaben, dass die identifizierten kompromittierten Websites Technologien wie die WordPress Content Management System (CMS)-Plattform und JavaScript-Bibliotheken nutzten.“
Die Untersuchung deckte auch eine Lieferkettenkomponente auf, die auf Autohandelswebsites über einen kompromittierten Videodienst abzielte. Infizierte Besucher riskierten dieselbe Infostealer herunterzuladen. In der Zwischenzeit dokumentierten Cybersicherheitsforscher verwandte Operationen, die andere Malware-Typen verteilten:
Forscher entdeckten auch ähnliche gefälschte CAPTCHA-Malware-Kampagnen, die Lumma- und Vidar-Infostealer und versteckte Rootkits einsetzen. Legitime CAPTCHA-Verifizierungschallenges validieren die Identität eines Benutzers und erfordern nicht, dass Benutzer Befehle oder Ausgaben in ein Windows-Ausführen-Dialogfeld kopieren und einfügen.
Beamte rieten Systemadministratoren, Software zu aktualisieren, CMS-Zugangsdaten zu stärken und Vorfälle an das FBI’s Internet Crime Complaint Center und NJCCIC zu melden.
