Valse CAPTCHA-pagina’s misleidden gebruikers om met malware doordrenkte commando’s in Windows Uitvoeren te plakken en voerden heimelijke aanvallen uit die ongemerkt infostealers implementeerden.
Nep CAPTCHA dwingt gebruikers om malware uit te voeren vermomd als verificatietekst
Dit artikel is meer dan een jaar geleden gepubliceerd. Sommige informatie is mogelijk niet meer actueel.
GESCHREVEN DOOR
DELEN
Misleidende CAPTCHA-pagina’s zetten stealth-malware in met behulp van Windows Run Exploit
Cybersecurity-analisten in New Jersey waarschuwden deze week voor een alarmerend malware-schema dat gericht was op overheidsmedewerkers via frauduleuze CAPTCHA-uitdagingen. De New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) onthulde op 20 maart dat de aanvallers e-mails naar staatswerknemers stuurden met links naar misleidende of gecompromitteerde websites die zich voordeden als beveiligingscontroles. Volgens NJCCIC:
De e-mails bevatten links die doelwitten naar schadelijke of gecompromitteerde websites leiden en misleidende CAPTCHA-verificatie-uitdagingen initiëren.
Deze uitdagingen waren ontworpen om gebruikers te misleiden tot het uitvoeren van gevaarlijke commando’s die heimelijk de SectopRAT infostealer installeerden.
De methode was bijzonder geavanceerd en gebruikte een op het klembord gebaseerde truc om de ware bedoeling te verhullen. Slachtoffers die op de link klikten, werden naar een nep-CAPTCHA-pagina geleid die automatisch een commando kopieerde. De website instrueerde gebruikers vervolgens om het commando in de Windows Uitvoeren-dialoogvenster te plakken als onderdeel van een vermeende verificatiestap. Hoewel het laatste deel van de geplakte tekst leek op een standaardbericht—“Ik ben geen robot – reCAPTCHA Verification ID: ####”—lanceerde het uitvoeren van het commando in werkelijkheid mshta.exe, een legitiem Windows-executable gebruikt om malware te ophalen en uit te voeren, vermomd in veelgebruikte bestandstypen.
NJCCIC traceerde de campagne naar gecompromitteerde sites die wijdverspreide tools gebruikten: “Verdere analyse wees uit dat de geïdentificeerde gecompromitteerde websites technologieën gebruikten zoals het WordPress Content Management System (CMS) platform en JavaScript Libraries.”
Het onderzoek ontdekte ook een supply chain-component die zich richtte op autodealerwebsites via een gecompromitteerde videoservice. Bezoekers liepen het risico dezelfde infostealer te downloaden. Ondertussen documenteerden cybersecurity-onderzoekers gerelateerde operaties waarbij andere soorten malware werden verspreid:
Onderzoekers ontdekten ook vergelijkbare nep-CAPTCHA-malwarecampagnes die Lumma en Vidar infostealers en heimelijke rootkits distribueren. Legitieme CAPTCHA-verificatie-uitdagingen verifiëren de identiteit van een gebruiker en vereisen niet dat gebruikers commando’s kopiëren en plakken of uitvoer in een Windows Uitvoeren-dialoogvenster.
Ambtenaren adviseerden systeembeheerders om software bij te werken, CMS-inloggegevens te versterken en incidenten te melden bij het FBI’s Internet Crime Complaint Center en NJCCIC.
