Falska CAPTCHA-sidor lurade användare att klistra in kommandon inpräglade med skadlig kod i Windows Run, vilket inledde diskreta attacker som obemärkt distribuerade datastölder.
Falsk CAPTCHA Tvingar Användare att Köra Skadlig Kod Förklädd som Verifikationstext
Denna artikel publicerades för mer än ett år sedan. Viss information kanske inte längre är aktuell.
SKRIVEN AV
DELA
Bedrägliga CAPTCHA-sidor distribuerar osynlig malware med hjälp av Windows Run-utnyttjande
Cybersäkerhetsanalytiker i New Jersey flaggade denna vecka ett alarmerande malware-system som riktar sig mot statliga anställda genom bedrägliga CAPTCHA-utmaningar. New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) avslöjade den 20 mars att angriparna skickade e-post till statliga arbetare med länkar till bedrägliga eller komprometterade webbplatser som låtsas vara säkerhetskontroller. Enligt NJCCIC:
E-postmeddelandena innehåller länkar som dirigerar mål till skadliga eller komprometterade webbplatser och uppmanar till bedrägliga CAPTCHA-verifieringsutmaningar.
Dessa utmaningar var utformade för att lura användare att köra farliga kommandon som hemligen installerade SectopRAT infostealer.
Metoden var särskilt sofistikerad och använde ett urklippsbaserat trick för att dölja sitt syfte. Offren som klickade på länken dirigerades till en falsk CAPTCHA-sida som automatiskt kopierade ett kommando. Webbplatsen instruerade sedan användarna att klistra in kommandot i dialogrutan Windows Run som en del av ett påstått verifieringssteg. Även om den sista delen av den inklistrade texten lästes som ett standardmeddelande—“Jag är inte en robot – reCAPTCHA Verification ID: ####”—i själva verket startade kommandot mshta.exe, ett legitimt Windows-exekverbart fil som används för att hämta och köra malware förklädda som vanliga filtyper.
NJCCIC spårade kampanjen till komprometterade webbplatser som använde allmänt antagna verktyg: “Ytterligare analyser indikerade att de identifierade komprometterade webbplatserna använde teknologier som WordPress Content Management System (CMS) plattform och JavaScript Libraries.”
Utredningen avslöjade också en leverantörskedjekomponent som riktade sig mot webbplatser för återförsäljare av bilar via en komprometterad videotjänst. Besökare som infekterades riskerade att ladda ner samma infostealer. Samtidigt dokumenterade cybersäkerhetsforskare relaterade operationer som distribuerade andra malware-typer:
Forskare upptäckte också liknande falska CAPTCHA-malware-kampanjer som distribuerade Lumma och Vidar infostealers och osynliga rootkits. Legitim CAPTCHA-verifieringsutmaningar validerar en användares identitet och kräver inte att användare kopierar och klistrar in kommandon eller output i en Windows Run-dialogruta.
Tjänstemän rådde systemadministratörer att uppdatera programvara, stärka CMS-referenser, och rapportera incidenter till FBI:s Internet Crime Complaint Center och NJCCIC.
