Недавние расследования выявили новую форму кибератаки, направленную на пользователей Windows. Злоумышленники создают поддельные страницы с CAPTCHA, которые вводят жертву в заблуждение и заставляют выполнять вредоносные команды через стандартное диалоговое окно запуска системы. Об этом предупреждает исследование компании Trend Micro, раскрывающее детали сложных методов внедрения и распространения атак.
Механизм атаки и способы доставки
Основой данной угрозы служат фишинговые электронные письма, вредоносная реклама и SEO-отравление, которые перенаправляют пользователей на тщательно замаскированные поддельные CAPTCHA-страницы. В результате пользователь, будучи убеждённым в легитимности просьбы, копирует и вставляет в окно запуска Windows вредоносные команды, которые затем выполняются в памяти системы, зачастую обходя традиционные средства защиты.
Ключевые особенности механизма атаки:
- Использование безобидно выглядящих файлов (MP3, PDF) с встроенным запутанным JavaScript-кодом;
- Вызов вредоносных команд через узлы HTML-приложений Microsoft, mshta.exe и PowerShell;
- Обфускация и динамическое формирование JavaScript для обхода антивирусных решений;
- Добыча дополнительных полезных нагрузок с удалённых серверов, включая такие вредоносные программы, как Lumma Stealer, AsyncRAT, Rhadamanthys и XWorm.
Обман с использованием поддельных CAPTCHA
Поддельные CAPTCHA-страницы тщательно имитируют настоящие, часто возникая при посещении обыкновенных, на первый взгляд, веб-сайтов. Злоумышленники создают ощущение срочности, ссылаясь в фишинговых письмах на несуществующие оставленные пользователем предметы. Это побуждает жертву оперативно вводить данные и выполнять команды.
Особое внимание уделяется легитимности ссылок: в письмах embedded URL-адреса перенаправляют пользователей на поддельные домены с CAPTCHA, что улучшает доверие и повышает вероятность успешной атаки.
Роль SEO-отравления и примеры угроз
В дополнение к фишинговым письмам злоумышленники применяют SEO-отравление, компрометируя легитимные сайты и влияя на выдачу поисковых систем. Анализ вредоносного кода выявил следующую интересную тактику:
- Вредоносный JavaScript внедряется в mp3-файлы, например lyricalsync.mp3, который одновременно воспроизводит законную звуковую дорожку и содержит опасную полезную нагрузку;
- Код динамически генерируется и многократно кодируется, чтобы усложнить его обнаружение;
- После выполнения скрипты загружают дополнительные модули с внешних серверов, связываясь с множеством вредоносных семейств.
Это свидетельствует о сложной архитектуре атаки с сетью взаимосвязанных Indicators of Compromise (IOCs).
Перспективы развития и рекомендации по защите
Исследователи предполагают, что в ближайшем будущем эти атаки могут эволюционировать, внедряя новые форматы полезных нагрузок и распространяясь через социальные сети.
Для эффективной защиты эксперты рекомендуют следующие меры:
- Отключать доступ к вызову диалогового окна запуска (Run);
- Внедрять строгие политики разрешений для пользователей и приложений;
- Улучшать настройки безопасности браузера и блокировать подозрительные сценарии;
- Повышать осведомленность пользователей о приемах фишинга и мошенничествах с CAPTCHA;
- Внедрять непрерывный мониторинг поведения скриптов и активностей, связанных с буфером обмена;
- Использовать методы прогнозирующего машинного обучения для выявления угроз на основе характеристик файлов.
Ключевым фактором остаётся упреждающий анализ и мониторинг, позволяющие своевременно обнаруживать и нейтрализовать такие сложные кампании.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Изощренные фишинговые атаки с поддельными капчами в Windows".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.