Фальшивые CAPTCHA-страницы заставляли пользователей вставлять команды с вредоносным кодом в Windows Run, запуская скрытые атаки, которые незаметно устанавливали инфостилеры.
Фальшивая CAPTCHA заставляет пользователей запускать вредоносное ПО, замаскированное под текст проверки
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Обманчивые CAPTCHA-страницы внедряют скрытое вредоносное ПО через эксплойт Windows Run
Аналитики по кибербезопасности в Нью-Джерси на этой неделе выявили тревожную схему с вредоносным ПО, нацеленную на государственных служащих через поддельные CAPTCHA-проверки. Нью-Джерсийский Центр интеграции кибербезопасности и коммуникаций (NJCCIC) сообщил 20 марта, что злоумышленники отправили государственным служащим электронные письма с ссылками на обманчивые или скомпрометированные сайты, маскирующиеся под проверки безопасности. По данным NJCCIC:
Электронные письма содержат ссылки, направляющие цели на вредоносные или скомпрометированные веб-сайты и побуждающие к обманчивым CAPTCHA-проверкам.
Эти проверки были разработаны, чтобы обмануть пользователей и заставить их запустить опасные команды, которые тайно устанавливали инфостилер SectopRAT.
Метод был особенно сложным, используя трюк с буфером обмена для сокрытия намерений. Жертвы, кликнувшие на ссылку, перенаправлялись на фальшивую страницу CAPTCHA, которая автоматически копировала команду. Затем веб-сайт инструктировал пользователей вставить команду в диалоговое окно Windows Run как часть предполагаемого шага проверки. Хотя последняя часть вставленного текста выглядела как стандартное сообщение — “I am not a robot – reCAPTCHA Verification ID: ####” — выполнение команды на самом деле запускало mshta.exe, законное исполняемое приложение Windows, используемое для загрузки и выполнения вредоносного ПО, замаскированного в обычные типы файлов.
NJCCIC проследил кампанию до скомпрометированных сайтов, использовавших широко применяемые инструменты: “Дальнейший анализ показал, что выявленные скомпрометированные веб-сайты использовали технологии, такие как платформа WordPress CMS и библиотеки JavaScript.”
Расследование также выявило компонент цепочки поставок, нацеленный на сайты автосалонов через скомпрометированную видеослужбу. Посетители рисковали скачать тот же инфостилер. Тем временем исследователи по кибербезопасности задокументировали связанные операции, распространяющие другие типы вредоносного ПО:
Исследователи также обнаружили аналогичные кампании с фальшивым CAPTCHA-вредоносным ПО, распространяющим инво-стилеры Lumma и Vidar и скрытные руткиты. Законные CAPTCHA-проверки удостоверяют личность пользователя и не требуют от пользователей копирования и вставки команд или вывода в диалоговое окно Windows Run.
Официальные лица рекомендовали администраторам системы обновить программное обеспечение, усилить учетные данные CMS и сообщить о случаях в Центр жалоб на интернет-преступления ФБР и NJCCIC.
