Sahte CAPTCHA sayfaları, kullanıcıları Windows Çalıştır’a kötü amaçlı komutlar yapıştırmaya kandırarak gizlice infostealer dağıtan gizli saldırılar başlattı.
Sahte CAPTCHA, Kullanıcıları Doğrulama Metni Olarak Kılık Değiştirmiş Zararlı Yazılım Çalıştırmaya Zorluyor
Bu makale bir yıldan fazla süre önce yayınlandı. Bazı bilgiler güncel olmayabilir.
YAZAN
PAYLAŞ
Aldatıcı CAPTCHA Sayfaları Windows Çalıştır Açığı Kullanarak Gizli Kötü Amaçlı Yazılım Dağıtıyor
New Jersey’deki siber güvenlik analistleri, bu hafta hükümet çalışanlarını sahte CAPTCHA zorlukları aracılığıyla hedef alan alarm verici bir kötü amaçlı yazılım planını belirledi. New Jersey Siber Güvenlik ve İletişim Entegrasyon Hücresi (NJCCIC), 20 Mart’ta saldırganların devlet çalışanlarına, güvenlik kontrolleri gibi görünen aldatıcı veya ele geçirilmiş web sitelerine bağlantılar içeren e-postalar gönderdiğini açıkladı. NJCCIC’e göre:
E-postalar, hedefleri kötü amaçlı veya ele geçirilmiş web sitelerine yönlendiren ve aldatıcı CAPTCHA doğrulama zorluklarını teşvik eden bağlantılar içeriyor.
Bu zorluklar, kullanıcıları gizlice SectopRAT infostreali yükleyen tehlikeli komutları çalıştırmaya kandırmak için tasarlanmıştır.
Yöntem, niyetini gizlemek için özellikle gelişmiş bir panoya dayalı hile kullanıyordu. Bağlantıya tıklayan kurbanlar, otomatik olarak bir komut kopyalayan sahte bir CAPTCHA sayfasına yönlendirilmiştir. Web sitesi daha sonra kullanıcılara sözde bir doğrulama adımının parçası olarak komutu Windows Çalıştır iletişim kutusuna yapıştırmalarını talimat veriyordu. Yapıştırılan metnin son kısmı standart bir mesaj gibi görünüyordu—“Ben bir robot değilim – reCAPTCHA Doğrulama ID: ####”—ancak komutun yürütülmesi, yaygın dosya türlerinde gizlenmiş kötü amaçlı yazılımları indiren ve çalıştıran meşru bir Windows yürütülebilir dosyası olan mshta.exe’i başlatıyordu.
NJCCIC, kampanyayı yaygın olarak benimsenen araçları kullanan ele geçirilmiş sitelere kadar izledi: “Daha ayrıntılı analiz sonucunda, tanımlanan ele geçirilmiş web sitelerinin WordPress İçerik Yönetim Sistemi (CMS) platformu ve JavaScript Kütüphaneleri gibi teknolojileri kullandığı belirtildi.”
Soruşturma ayrıca, ele geçirilmiş bir video hizmeti aracılığıyla otomobil bayiliği web sitelerini hedefleyen bir tedarik zinciri bileşenini de ortaya çıkardı. Enfekte ziyaretçiler aynı infostealer’ı indirme riski altındaydı. Bu arada, siber güvenlik araştırmacıları diğer kötü amaçlı yazılım türlerini dağıtan ilgili operasyonları belgelenmiştir:
Araştırmacılar ayrıca Lumma ve Vidar infostealer ve gizli rootkit’ler dağıtan benzer sahte CAPTCHA kötü amaçlı yazılım kampanyalarını da keşfettiler. Meşru CAPTCHA doğrulama zorlukları, bir kullanıcının kimliğini doğrular ve kullanıcılardan komutları veya çıktıları Windows Çalıştır iletişim kutusuna kopyalamalarını ve yapıştırmalarını gerektirmez.
Yetkililer, sistem yöneticilerine yazılım güncellemelerini yapmaları, CMS kimlik bilgilerini güçlendirmeleri ve olayları FBI’ın İnternet Suçları Şikayet Merkezine ve NJCCIC’e bildirmeleri tavsiyesinde bulundu.
