Falsk CAPTCHA Tvinger Brukere til å Kjøre Skadelig Programvare Forkledd som Verifiseringstekst

Villedende CAPTCHA-sider Distribuerer Skjult Malware Ved Bruk av Windows Run Exploit

Cybersikkerhetsanalytikere i New Jersey flagget denne uken en alarmerende malware-plan som retter seg mot statsansatte gjennom falske CAPTCHA-utfordringer. New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) avslørte 20. mars at angriperne sendte e-poster til statlig ansatte med lenker til villedende eller kompromitterte nettsteder som utgir seg for å være sikkerhetssjekker. Ifølge NJCCIC:

E-postene inneholder lenker som leder målene til skadelige eller kompromitterte nettsteder og ber om villedende CAPTCHA-verifiseringsutfordringer.

Disse utfordringene var designet for å lure brukere til å kjøre farlige kommandoer som hemmelig installerte SectopRAT infostealer.

Metoden var særlig sofistikert, og brukte et utklippsbasert triks for å skjule sin hensikt. Ofre som klikket på lenken ble dirigert til en falsk CAPTCHA-side som automatisk kopierte en kommando. Nettstedet instruerte deretter brukerne om å lime inn kommandoen i Windows Run-dialogboksen som en del av et påstått verifikasjonstrinn. Selv om den siste delen av den innsatte teksten lignet en standardmelding—“Jeg er ikke en robot – reCAPTCHA Verifikasjons-ID: ####”—lanserte kjøringen av kommandoen faktisk mshta.exe, en legitim Windows-kjørbar fil brukt for å hente og kjøre malware forkledd i vanlige filtyper.

NJCCIC sporet kampanjen til kompromitterte nettsteder som brukte mye adopterte verktøy: “Videre analyse indikerte at de identifiserte kompromitterte nettstedene brukte teknologier som WordPress Content Management System (CMS) plattform og JavaScript-biblioteker.”

Etterforskningen avdekket også en forsyningskjedekomponent som retter seg mot bilforhandlernettsteder via en kompromittert videotjeneste. Infiserte besøkende risikerte å laste ned den samme infostealeren. I mellomtiden dokumenterte cybersikkerhetsforskere relaterte operasjoner som distribuerte andre typer malware:

Forskere oppdaget også lignende falske CAPTCHA-malware-kampanjer som distribuerer Lumma- og Vidar-infostealere og skjulte rootkits. Legitime CAPTCHA-verifiseringsutfordringer validerer en brukers identitet og krever ikke at brukere kopierer og limer kommandoer eller utdata inn i en Windows Run-dialogboks.

Tjenestemenn rådet systemadministratorer til å oppdatere programvare, styrke CMS-legitimasjon og rapportere hendelser til FBI’s Internet Crime Complaint Center og NJCCIC.