Недавний отчет о киберугрозах освещает растущий уровень опасностей, связанных с кампанией FakeCaptcha, демонстрируя сложную инфраструктуру, использующую методы вредоносной рекламы для распространения различных типов вредоносного ПО.
Методы и инфраструктура
Кампания активно применяет домены с верхним уровнем «.shop», которые связаны с IP-адресами, принадлежащими Cloudflare. Это свидетельствует о попытках скрыть реальный хостинг.
Регистратором этих доменов неизменно выступает namecheap.com, в то время как большинство из них, похоже, происходит из Исландии. Это указывает на организованную и экономически эффективную работу.
Центральная роль Emmenhtal
Одним из ключевых элементов в методах распространения является Emmenhtal, загрузчик, связанный с различными типами вредоносного ПО, такими как:
- Amadey
- Danabot
- Lumma Stealer
Этот загрузчик доставляет вредоносные файлы, замаскированные под веб-страницы с поддельной капчей, которые отслеживают взаимодействие пользователей через механизмы партнерского отслеживания.
Тactics and Techniques
PHP-скрипты, использующиеся для вредоносных программ, сильно запутаны, чтобы обойти традиционные меры блокировки рекламы. Основная зависимость от действий пользователя повышает вероятность успешного заражения:
- Использование команд PowerShell, которые пользователи должны выполнять вручную.
- Запутанные команды для выполнения полезной нагрузки HTA с использованием mshta.exe.
Сложность обнаружения
Полезная нагрузка проходит через двухэтапный процесс загрузки скриптов и обычно завершается развертыванием сложных сценариев PowerShell, насчитывающих более 20,000 строк, что существенно затрудняет анализ.
Одним из замеченных методов является контрабанда блоков скриптов, направленная на обход защиты от вредоносных программ в интерфейсе AMSI. Злоумышленники также используют скрипты из репозиториев GitHub, что говорит о совместном расширении возможностей вредоносного ПО, потенциально включая сегменты, сгенерированные искусственным интеллектом.
Заключение
Операция часто завершается развертыванием Lumma Stealer — продвинутой вредоносной программы, известной своей эффективностью в краже конфиденциальных данных пользователей. По мере совершенствования тактики злоумышленники, необходимо особое внимание уделить разработке средств обнаружения с использованием как возможностей OSINT, так и передовых продуктов безопасности, что будет иметь решающее значение для противодействия этим постоянным угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Угроза FakeCaptcha: эволюция вредоносных атак и защиты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.