Halaman CAPTCHA Palsu Menipu Pengguna untuk Menyalin Perintah Berbahaya ke Windows Run, Meluncurkan Serangan Senyap yang Memasang Infostealers Tanpa Terdeteksi.
CAPTCHA Palsu Memaksa Pengguna Menjalankan Malware yang Menyamar sebagai Teks Verifikasi
Artikel ini diterbitkan lebih dari setahun yang lalu. Beberapa informasi mungkin sudah tidak terkini.
DITULIS OLEH
BAGIKAN
Halaman CAPTCHA Menipu Menyebarkan Malware Senyap Menggunakan Eksploitasi Windows Run
Analis keamanan siber di New Jersey menyoroti skema malware yang mengkhawatirkan minggu ini yang menargetkan pegawai pemerintah melalui tantangan CAPTCHA palsu. New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) mengungkapkan pada 20 Maret bahwa penyerang mengirimkan email kepada pekerja negara yang berisi tautan ke situs web palsu atau terkompromi yang berpura-pura sebagai pemeriksaan keamanan. Menurut NJCCIC:
Email tersebut berisi tautan yang mengarahkan target ke situs web berbahaya atau terkompromi dan meminta tantangan verifikasi CAPTCHA yang menipu.
Tantangan ini dirancang untuk menipu pengguna agar menjalankan perintah berbahaya yang diam-diam menginstal infostealer SectopRAT.
Metode ini sangat canggih, menggunakan trik berbasis clipboard untuk menyembunyikan niatnya. Korban yang mengklik tautan diarahkan ke halaman CAPTCHA palsu yang secara otomatis menyalin perintah. Situs web tersebut kemudian menginstruksikan pengguna untuk menempelkan perintah ke dialog Windows Run sebagai bagian dari langkah verifikasi yang dimaksudkan. Meskipun bagian terakhir dari teks yang ditempelkan terdengar seperti pesan standar—“Saya bukan robot – Verifikasi reCAPTCHA ID: ####”—menjalankan perintah itu sebenarnya meluncurkan mshta.exe, sebuah executable Windows yang sah yang digunakan untuk mengambil dan menjalankan malware yang disamarkan dalam jenis file umum.
NJCCIC melacak kampanye ke situs yang terkompromi yang menggunakan alat yang banyak digunakan: “Analisis lebih lanjut menunjukkan bahwa situs web yang teridentifikasi terkompromi menggunakan teknologi seperti platform WordPress Content Management System (CMS) dan Pustaka JavaScript.”
Penyelidikan juga mengungkapkan komponen rantai pasokan yang menargetkan situs web dealer otomotif melalui layanan video yang terkompromi. Pengunjung yang terinfeksi berisiko mengunduh infostealer yang sama. Sementara itu, peneliti keamanan siber mendokumentasikan operasi terkait lainnya yang mendistribusikan jenis malware lainnya:
Peneliti juga menemukan kampanye malware CAPTCHA palsu serupa yang menyebarkan infostealer Lumma dan Vidar serta rootkit yang sulit dideteksi. Tantangan verifikasi CAPTCHA yang sah memvalidasi identitas pengguna dan tidak mengharuskan pengguna menyalin dan menempelkan perintah atau output ke dalam dialog Windows Run.
Pejabat menyarankan administrator sistem untuk memperbarui perangkat lunak, memperkuat kredensial CMS, dan melaporkan insiden kepada Pusat Pengaduan Kejahatan Internet FBI dan NJCCIC.
