CAPTCHA מזויף מכריח משתמשים להריץ תוכנה זדונית המתחפשת לטקסט אימות

דפי CAPTCHA מטעים מפיצים תוכנה זדונית באמצעות ניצול פרצת Windows Run

אנליסטים בתחום האבטחה הקיברנטית בניו ג’רזי התריעו השבוע על תוכנית תוכנה זדונית מדאיגה המכוונת לעובדי ממשלה באמצעות אתגרי CAPTCHA מזויפים. תאי האינטגרציה הקיברנטית והתקשורת של ניו ג’רזי (NJCCIC) חשפו ב-20 במרץ כי התוקפים שלחו אימיילים לעובדי מדינה עם קישורים לאתרים מזויפים או פרוצים שמתחזים לבדיקות אבטח”ה. על פי NJCCIC:

האימיילים מכילים קישורים המובילים מטרות לאתרים זדוניים או פרוצים ומבקשים אתגרי CAPTCHA מטעים.

אתגרים אלו תוכננו להוליך שולל משתמשים להרצת פקודות מסוכנות שהתקינו בסתר את תוכנת הגניבה SectopRAT.

השיטה הייתה מתוחכמת במיוחד, תוך שימוש בטריק מבוסס לוח גזירה להסתיר את כוונתה. קורבנות שהקליקו על הקישור הופנו לדף CAPTCHA מזויף שהעתיק אוטומטית פקודה. האתר הדריך לאחר מכן את המשתמשים להדביק את הפקודה לתוך תיבת הדיאלוג של Windows Run כחלק מתהליך אימות לכאורה. למרות שהחלק האחרון בטקסט המודבק נקרא כמו הודעה סטנדרטית—”I am not a robot – reCAPTCHA Verification ID: ####”—הרצת הפקודה למעשה השיקה את mshta.exe, קובץ הפעלה לגיטימי של Windows ששימש לאיתור ולהרצת תוכנה זדונית שהוסוותה כסוגי קבצים רגילים.

NJCCIC עקב אחר הקמפיין לאתרים פרוצים שהשתמשו בכלים נפוצים: “ניתוח נוסף הצביע על כך שהאתרים המפרותים שזוהו השתמשו בטכנולוגיות כמו מערכת ניהול התוכן WordPress ופלטפורמת ספריות JavaScript.”

החקירה גם חשפה מרכיב בשרשרת האספקה המכוון לאתרים של סוכנויות רכב באמצעות שירות וידאו פרוץ. מבקרים שנדבקו היו בסיכון להוריד את אותה תוכנה זדונית לגניבה. בינתיים, חוקרי אבטחה קיברנטיים תיעדו פעולות קשורות שהפיצו סוגי תוכנה זדונית אחרים:

חוקרים גם גילו קמפיינים דומים של תוכנה זדונית עם CAPTCHA מזויף שמפיצים תוכנות גניבה מסוג Lumma ו-Vidar ושורשי רוע סמויים. אתגרי CAPTCHA אימות לגיטימיים מאמתים את זהות המשתמש ואינם דורשים מהמשתמשים להעתיק ולהדביק פקודות או פלט לתוך תיבת הדיאלוג של Windows Run.

פקידים ייעצו למנהלי מערכת לעדכן תוכנה, לחזק אישורי CMS ולדווח על תקריות למרכז תלונות הפשע באינטרנט של ה-FBI ו-NJCCIC.