伪造的CAPTCHA强迫用户运行伪装成验证文本的恶意软件

欺骗性 CAPTCHA 页面利用 Windows 运行漏洞部署隐形恶意软件

新泽西的网络安全分析师本周警告了一项针对政府雇员的令人震惊的恶意软件计划，该计划通过虚假的 CAPTCHA 挑战进行攻击。新泽西州网络安全和通信集成中心 (NJCCIC) 于 3 月 20 日透露，攻击者向州工作人员发送电子邮件，里面包含伪装成安全检查的欺骗性或被攻破网站的链接。根据 NJCCIC 的说法：

这些电子邮件包含将目标引导至恶意或受损网站的链接，并提示进行欺骗性的 CAPTCHA 验证挑战。

这些挑战旨在愚弄用户运行危险命令，这些命令秘密安装了 SectopRAT 信息窃取程序。

这一方法尤其复杂，使用了一种基于剪贴板的技巧来掩盖其意图。点击链接的受害者被引导至一个假 CAPTCHA 页面，该页面自动复制一条命令。然后，网站指示用户将命令粘贴到 Windows 运行对话框，作为所谓的验证步骤的一部分。尽管粘贴文本的最后部分读起来像是标准消息——“我不是机器人 – reCAPTCHA 验证 ID: ####”——但执行该命令实际上启动了 mshta.exe，这是一种用于获取和运行隐藏在常见文件类型中恶意软件的合法 Windows 可执行文件。

NJCCIC 将该攻击活动追踪到使用广泛采用工具的被攻破网站：“进一步分析表明，已识别的被攻破网站使用了诸如 WordPress 内容管理系统 (CMS) 平台和 JavaScript 库等技术。”

调查还发现了一个针对汽车经销商网站的供应链组件，该组件通过一个被攻破的视频服务进行传播。感染的访问者有被下载同样信息窃取程序的风险。同时，网络安全研究人员记录了分发其他类型恶意软件的相关操作：

研究人员还发现类似的假 CAPTCHA 恶意软件活动，部署了 Lumma 和 Vidar 信息窃取程序及隐秘的根kit。合法的 CAPTCHA 验证挑战会验证用户身份，并且不需要用户复制和粘贴命令或输出到 Windows 运行对话框。

官员建议系统管理员更新软件，加强 CMS 凭证，并将事件报告给 FBI 的互联网犯罪投诉中心和 NJCCIC。