फर्जी CAPTCHA पेज ने उपयोगकर्ताओं को Windows Run में मैलवेयर से भरे कमांड पेस्ट करने के लिए धोखा दिया, जिससे छुपे हुए हमले शुरू हुए जो बिना पता चले जानकारी चुराने वाले सॉफ़्टवेयर स्थापित कर देते थे।
नकली CAPTCHA उपयोगकर्ताओं को सत्यापन पाठ के रूप में छिपे हुए मैलवेयर को चलाने के लिए मजबूर करता है।
यह लेख एक वर्ष से अधिक पहले प्रकाशित हुआ था। कुछ जानकारी अब वर्तमान नहीं हो सकती।
लेखक
शेयर
धोखाधड़ीपूर्ण CAPTCHA पृष्ठ ने विंडोज रन का उपयोग करके स्टील्थ मैलवेयर को तैनात किया
न्यू जर्सी में साइबरसिक्योरिटी विश्लेषकों ने इस सप्ताह सरकारी कर्मचारियों को धोखाधड़ीपूर्ण CAPTCHA चुनौतियों के माध्यम से निशाना बनाने की एक खतरनाक मैलवेयर योजना पर ध्यान आकर्षित किया। न्यू जर्सी साइबरसिक्योरिटी एंड कम्युनिकेशंस इंटीग्रेशन सेल (NJCCIC) ने 20 मार्च को खुलासा किया कि हमलावरों ने राज्य कर्मचारियों को ईमेल भेजे, जिनमें सुरक्षा जांच के रूप में प्रस्तुत धोखाधड़ीपूर्ण या समझौता की गई वेबसाइटों के लिंक थे। NJCCIC के अनुसार:
ईमेल में लिंक होते हैं जो लक्ष्यों को दुर्भावनापूर्ण या समझौता की गई वेबसाइटों की ओर निर्देशित करते हैं और धोखाधड़ीपूर्ण CAPTCHA सत्यापन चुनौतियों को प्रस्तुत करते हैं।
ये चुनौतियाँ उपयोगकर्ताओं को खतरनाक आदेश चलाने के लिए गुमराह करने के लिए डिज़ाइन की गई थीं जो गुप्त रूप से SectopRAT जानकारी चुराने वाले सॉफ़्टवेयर को स्थापित करती थीं।
यह विधि विशेष रूप से परिष्कृत थी, जो इसके इरादे को छिपाने के लिए एक क्लिपबोर्ड-आधारित चाल का उपयोग करती थी। लिंक पर क्लिक करने वाले पीड़ितों को एक नकली CAPTCHA पृष्ठ पर निर्देशित किया गया, जिसने स्वचालित रूप से एक आदेश की प्रतिलिपि बनाई। फिर वेबसाइट ने उपयोगकर्ताओं को एक तथाकथित सत्यापन चरण के हिस्से के रूप में Windows Run संवाद में कमांड पेस्ट करने का निर्देश दिया। यद्यपि चिपकाए गए पाठ का अंतिम भाग मानक संदेश की तरह पढ़ता था—“मैं रोबोट नहीं हूँ – reCAPTCHA सत्यापन आईडी: ####”—वास्तव में कमांड को निष्पादित करने पर mshta.exe लॉन्च हो जाता था, जो सामान्य फ़ाइल प्रकारों में प्रच्छन्न मैलवेयर प्राप्त करने और चलाने के लिए उपयोग किया जाता था।
NJCCIC ने व्यापक रूप से अपनाए गए टूल का उपयोग करने वाली समझौता की गई साइटों के अभियान का पता लगाया: “आगे के विश्लेषण से संकेत मिलता है कि पहचाने गए समझौता किए गए वेबसाइटों ने वर्डप्रेस कंटेंट मैनेजमेंट सिस्टम (CMS) प्लेटफ़ॉर्म और जावास्क्रिप्ट लाइब्रेरी जैसी तकनीकों का उपयोग किया।”
जांच में एक आपूर्ति श्रृंखला घटक का भी पता चला जो एक समझौता की गई वीडियो सेवा के माध्यम से ऑटो डीलरशिप वेबसाइटों को लक्षित कर रहा था। संक्रमित आगंतुकों को उसी जानकारी चुराने वाले सॉफ़्टवेयर को डाउनलोड करने का जोखिम था। इस बीच, साइबर सुरक्षा शोधकर्ताओं ने अन्य मैलवेयर प्रकारों को वितरित करने वाले संबंधित संचालन का दस्तावेजीकरण किया:
शोधकर्ताओं ने समान नकली CAPTCHA मैलवेयर अभियानों की भी खोज की जो Lumma और Vidar से जानकारी चुराने वाले सॉफ़्टवेयर और स्टील्थ रूटकिट्स को तैनात करते हैं। वैध CAPTCHA सत्यापन चुनौतियाँ उपयोगकर्ता की पहचान को मान्य करती हैं और उपयोगकर्ताओं को Windows Run डायलॉग बॉक्स में कमांड या आउटपुट की प्रतिलिपि बनाने और पेस्ट करने की आवश्यकता नहीं होती है।
अधिकारियों ने सिस्टम प्रशासकों को सॉफ़्टवेयर अपडेट करने, CMS क्रेडेंशियल्स को मजबूत करने और FBI के इंटरनेट क्राइम कम्प्लेन्ट सेंटर और NJCCIC को घटनाओं की रिपोर्ट करने की सलाह दी।
