Falske CAPTCHA-sider lurte brukere til å lime inn malware-infiserte kommandoer i Windows Run, og igangsatte stille angrep som stille distribuerte infostealere uoppdaget.
Falsk CAPTCHA Tvinger Brukere til å Kjøre Skadelig Programvare Forkledd som Verifiseringstekst
Denne artikkelen ble publisert for mer enn et år siden. Noe informasjon er kanskje ikke lenger aktuell.
SKREVET AV
DEL
Villedende CAPTCHA-sider Distribuerer Skjult Malware Ved Bruk av Windows Run Exploit
Cybersikkerhetsanalytikere i New Jersey flagget denne uken en alarmerende malware-plan som retter seg mot statsansatte gjennom falske CAPTCHA-utfordringer. New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) avslørte 20. mars at angriperne sendte e-poster til statlig ansatte med lenker til villedende eller kompromitterte nettsteder som utgir seg for å være sikkerhetssjekker. Ifølge NJCCIC:
E-postene inneholder lenker som leder målene til skadelige eller kompromitterte nettsteder og ber om villedende CAPTCHA-verifiseringsutfordringer.
Disse utfordringene var designet for å lure brukere til å kjøre farlige kommandoer som hemmelig installerte SectopRAT infostealer.
Metoden var særlig sofistikert, og brukte et utklippsbasert triks for å skjule sin hensikt. Ofre som klikket på lenken ble dirigert til en falsk CAPTCHA-side som automatisk kopierte en kommando. Nettstedet instruerte deretter brukerne om å lime inn kommandoen i Windows Run-dialogboksen som en del av et påstått verifikasjonstrinn. Selv om den siste delen av den innsatte teksten lignet en standardmelding—“Jeg er ikke en robot – reCAPTCHA Verifikasjons-ID: ####”—lanserte kjøringen av kommandoen faktisk mshta.exe, en legitim Windows-kjørbar fil brukt for å hente og kjøre malware forkledd i vanlige filtyper.
NJCCIC sporet kampanjen til kompromitterte nettsteder som brukte mye adopterte verktøy: “Videre analyse indikerte at de identifiserte kompromitterte nettstedene brukte teknologier som WordPress Content Management System (CMS) plattform og JavaScript-biblioteker.”
Etterforskningen avdekket også en forsyningskjedekomponent som retter seg mot bilforhandlernettsteder via en kompromittert videotjeneste. Infiserte besøkende risikerte å laste ned den samme infostealeren. I mellomtiden dokumenterte cybersikkerhetsforskere relaterte operasjoner som distribuerte andre typer malware:
Forskere oppdaget også lignende falske CAPTCHA-malware-kampanjer som distribuerer Lumma- og Vidar-infostealere og skjulte rootkits. Legitime CAPTCHA-verifiseringsutfordringer validerer en brukers identitet og krever ikke at brukere kopierer og limer kommandoer eller utdata inn i en Windows Run-dialogboks.
Tjenestemenn rådet systemadministratorer til å oppdatere programvare, styrke CMS-legitimasjon og rapportere hendelser til FBI’s Internet Crime Complaint Center og NJCCIC.
Denne artikkelen er oversatt fra engelsk ved hjelp av kunstig intelligens. Den originale engelske versjonen er den autoritative kilden; automatiske oversettelser kan inneholde unøyaktigheter, særlig i juridisk og regulatorisk terminologi.
