На ряде сайтов была зафиксирована кампания, в которой злоумышленники подменяют обычный интерфейс проверки «я не робот» поддельной страницей. Атака строится следующим образом: уязвимые сайты (часто на WordPress) с некорректными CORS-настройками получают внедрённый JavaScript (в кампании использовался скрипт, обозначаемый как iFrameOverload), который поверх содержимого загружает поддельную CAPTCHA — TeleCaptcha. Пользователь видит знакомый элемент интерфейса и действует привычно; псевдоинтерфейс предлагает или требует скопировать в буфер обмена команду, содержащую PowerShell-запрос на загрузку MSI-пакета.
Установочный MSI, собранный с помощью стандартных инструментов и распаковывающий CAB-архив, разворачивает исполняемый файл и вспомогательные библиотеки без видимых окон, с автоматическим принятием условий и записью логов. В результате запускается легитимный исполняемый файл и загружается вредоносная DLL (Latrodectus), которая обеспечивает связь с управляющим сервером, сбор системной и сетевой информации и возможность дальнейшей загрузки модулей, в том числе для распространения вымогателей. Для обеспечения устойчивости используются привычные приёмы: запись в автозагрузку через ключи реестра и DLL sideloading с использованием подписанных, но позже отозванных сертификатов. Кампания также применяет трекинг действий жертв (например, сохранение идентификаторов в localStorage) и уведомления в Telegram-канал злоумышленников; инфраструктура опирается на домены, размещённые через крупные хостинги и регистраторов.
Ключевой фактор успешности этой схемы — эксплуатирование доверия пользователя к знакомому интерфейсу и автоматизма в действиях. Технические меры (патчи, корректные CORS-политики, мониторинг и контроль контента) важны, но недостаточны, если пользователи не умеют распознавать подмену привычных элементов и не знают правил обращения с подозрительными запросами в интерфейсе. Для бизнеса это означает, что программы security awareness должны включать разбор подобных сценариев: показывать примеры поддельных интерфейсов, отрабатывать алгоритмы безопасного поведения при неожиданном поведении сайта (не копировать и не запускать команды, сверять источник загрузки, сообщать в ИБ), а также синхронизироваться с ИТ в части оперативного выявления и закрытия уязвимых ресурсов.
Вывод прост: сочетание технических мер и практических тренировок персонала снижает риск успешной эксплуатации привычного интерфейса как точки входа для заражения.
Источник: SecurityLab