Ponarejene CAPTCHA strani so uporabnike pretentale, da so v Windows Run prilepili ukaze z zlonamerno programsko opremo, s čimer so sprožili prikrite napade, ki so tiho namestili neopazne infostealerje.
Lažni CAPTCHA sili uporabnike v zagon zlonamerne programske opreme, prikrite kot potrditveno besedilo
Ta članek je bil objavljen pred več kot letom dni. Nekatere informacije morda niso več aktualne.
NAPISAL
DELI
Zavajajoče CAPTCHA strani namestijo prikrito zlonamerno programsko opremo z izkoriščanjem Windows Run funkcije
Analitiki kibernetske varnosti v New Jerseyju so ta teden opazili zaskrbljujočo shemo zlonamerne programske opreme, ki cilja na državne uslužbence prek lažnih CAPTCHA izzivov. New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) je 20. marca razkril, da so napadalci državnim delavcem pošiljali e-pošto z povezavami do zavajajočih ali ogroženih spletnih strani, ki se predstavljajo kot varnostni pregledi. Po besedah NJCCIC:
E-poštna sporočila vsebujejo povezave, ki usmerjajo cilje na zlonamerne ali ogrožene spletne strani in sprožajo zavajajoče izzive za CAPTCHA preverjanje.
Ti izzivi so bili zasnovani tako, da so uporabnike pretentali k izvajanju nevarnih ukazov, ki so tajno namestili infostealer SectopRAT.
Metoda je bila posebej izpopolnjena, saj je uporabila trik z odložiščem, da bi skrila svoj namen. Žrtve, ki so kliknile na povezavo, so bile preusmerjene na lažno CAPTCHA stran, ki je samodejno kopirala ukaz. Spletno mesto je nato usmerjalo uporabnike, naj ukaz prilepijo v pogovorno okno Windows Run kot del domnevnega preverjalnega koraka. Čeprav je zadnji del prilepljenega besedila izgledal kot standardno sporočilo—“Nisem robot – reCAPTCHA Verification ID: ####”—izvajanje ukaza je dejansko sprožilo mshta.exe, legitimno Windows izvršljivo datoteko, uporabljeno za pridobivanje in zagon zlonamerne programske opreme prikrite v običajnih vrstah datotek.
NJCCIC je kampanjo izsledil do ogroženih spletnih strani, ki so uporabljale široko uporabljana orodja: “Nadaljnja analiza je pokazala, da so identificirane ogrožene spletne strani uporabljale tehnologije, kot so platforma WordPress Content Management System (CMS) in JavaScript knjižnice.”
Preiskava je odkrila tudi komponento dobavne verige, ki cilja na spletne strani avto trgovin preko ogrožene video storitve. Okuženi obiskovalci so tvegali prenos istega infostealerja. Medtem so raziskovalci kibernetske varnosti dokumentirali povezane operacije, ki distribuirajo druge vrste zlonamerne programske opreme:
Raziskovalci so odkrili tudi podobne lažne malware kampanje CAPTCHA, ki distribuirajo infostealerje Lumma in Vidar ter prikrite rootkite. Legitimni CAPTCHA izzivi za preverjanje potrjujejo identiteto uporabnika in ne zahtevajo, da uporabniki kopirajo in prilepijo ukaze ali izhod v pogovorno okno Windows Run.
Uradniki so svetovali sistemskim skrbnikom, naj posodobijo programsko opremo, okrepijo CMS poverilnice in prijavijo incidente FBI-jevemu Internet Crime Complaint Centru in NJCCIC.
