Фальшиві CAPTCHA-сторінки обманом змушували користувачів вставляти команди з шкідливим програмним забезпеченням у Windows Run, що запускало приховані атаки, які непомітно впроваджували програми для викрадення інформації.
Фейкова CAPTCHA змушує користувачів запускати шкідливе програмне забезпечення, замасковане під текст підтвердження
Ця стаття була опублікована понад рік тому. Деяка інформація може бути неактуальною.
АВТОР
ПОДІЛИТИСЯ
Оманливі CAPTCHA-сторінки розгортають приховане шкідливе програмне забезпечення, використовуючи експлойт Windows Run
Аналітики з кібербезпеки в Нью-Джерсі попередили цього тижня про небезпечну схему зловмисного програмного забезпечення, націлену на урядових службовців через фальшиві CAPTCHA-виклики. Кібербезпековий та Комунікаційний Інтеграційний Центр Нью-Джерсі (NJCCIC) повідомив 20 березня, що нападники відправляли електронні листи державним працівникам з посиланнями на оманливі або скомпрометовані вебсайти, які видавали себе за перевірки безпеки. За даними NJCCIC:
Електронні листи містять посилання, що направляють цільові об’єкти на шкідливі або скомпрометовані вебсайти, і пропонують оманливі перевірки CAPTCHA.
Ці виклики були створені, щоб обдурити користувачів і змусити їх запустити небезпечні команди, які таємно встановлювали викрадача інформації SectopRAT.
Метод був особливо витонченим, використовуючи прийом на основі буфера обміну для приховування свого наміру. Жертви, які натискали на посилання, потрапляли на фальшиву CAPTCHA-сторінку, що автоматично копіювала команду. Сайт потім інструктував користувачів вставити команду в діалогове вікно Windows Run як частину уявного кроку перевірки. Хоча остання частина вставленого тексту виглядала як стандартне повідомлення — “Я не робот – ID перевірки reCAPTCHA: ####” — виконання команди фактично запускало mshta.exe, легальний виконуваний файл Windows, що використовується для отримання та запуску зловмисного програмного забезпечення, завуальованого під звичайні файли.
NJCCIC відстежив кампанію до скомпрометованих сайтів, які використовували широко прийняті інструменти: “Подальший аналіз показав, що ідентифіковані скомпрометовані вебсайти використовували технології, такі як платформа системи керування контентом WordPress (CMS) та бібліотеки JavaScript.”
Розслідування також виявило компонент ланцюга поставок, що цілиться в автосалонні вебсайти через компрометовану відеослужбу. Інфіковані відвідувачі ризикували завантажити такого ж викрадача інформації. Тим часом дослідники з кібербезпеки документували подібні операції, що поширювали інші типи шкідливих програм:
Дослідники також виявили подібні фальшиві кампанії CAPTCHA, які розгортають викрадачі інформації Lumma і Vidar та приховані руткіти. Легітимні виклики перевірки CAPTCHA перевіряють особу користувача і не вимагають від користувачів копіювати і вставляти команди або вихід у діалогове вікно Windows Run.
Офіційні особи радили адміністраторам систем оновлювати програмне забезпечення, зміцнювати облікові дані CMS і повідомляти про інциденти до Інтернет-центру скарг на злочини ФБР та NJCCIC.
