26 января

Фейковые CAPTCHA: новая экосистема доставки вредоносного ПО

Анализ экосистемы поддельных Captcha показывает заметный сдвиг в методах доставки вредоносного ПО: злоумышленники всё чаще используют надежную веб-инфраструктуру и стандартизированные интерфейсы, маскируя вред за знакомыми пользователю задачами проверки. Данные из набора Censys выделяют крупный визуальный кластер, имитирующий подсказки в стиле Cloudflare, при этом реальные механизмы исполнения на таких страницах сильно различаются — что указывает на фрагментированную методологию, а не на единую координируемую кампанию.

«Эта среда облегчает выполнение с помощью различных моделей, включая методы, управляемые буфером обмена (например, PowerShell, VBScript), доставку на основе установщика через MSI и серверные платформы, которые скрывают артефакты на стороне клиента.»

Ключевые выводы

Обнаружен крупный визуальный кластер фейковых Captcha, визуально похожих на Cloudflare-подсказки, но с разным поведением исполнения.
Преобладает выполнение через буфер обмена с использованием PowerShell для подгрузки последующих скриптов; широко применяются также VBScript, загрузчики BAT и MSHTA с кодированными URL.
Распространён подход доставки через MSI — злоумышленники всё чаще используют инсталляторы Windows для сокрытия вредоносной логики.
Появление модели Matrix Push C2 — серверная архитектура, отделяющая взаимодействия от видимых полезных нагрузок и усложняющая обнаружение.
Метод перцептивного хэширования (pHash) позволил сгруппировать визуально схожие ресурсы, но недостаточен для атрибуции операций.
Текущие детекции, ориентированные исключительно на контроль за буфером обмена или командной строкой, оказываются неадекватными.

Методология исследования

Аналитики использовали набор данных Censys и применили перцептивное хэширование — pHash — для идентификации визуальных кластеров страниц, имитирующих Captcha. Группировка по визуальному сходству позволила выделить шаблоны поведения и распространённые методы исполнения (например, команды из буфера обмена и последовательности развертывания). Однако визуальное сходство не гарантирует общую инфраструктуру или операционные связи, поэтому атрибуция остаётся затруднённой.

Методы доставки и исполнения

Буфер обмена + PowerShell/VBScript: основной вектор — злоумышленник побуждает пользователя вставить или выполнить команду, которая загружает и запускает следующий этап.
MSI-инсталляторы: распространённая тактика — упаковка вредоносного кода в официально выглядящие установщики Windows.
Загрузчики BAT и MSHTA: малые по объёму скрипты, часто использующие кодированные URL для обхода простых сигнатурных фильтров.
Matrix Push C2: сложная серверная модель, где взаимодействие с пользователем и видимая логика отделены от настоящих полезных нагрузок, что снижает артефактность на стороне клиента и затрудняет обнаружение.

Почему это представляет опасность

Злоумышленники эксплуатируют доверие пользователей к стандартным веб-процессам и привычные рабочие потоки браузера. Стандартизированные интерфейсы проверки (поддельные Captcha) снижают психологическое сопротивление пользователя: люди привычно взаимодействуют с такими элементами и реже подозревают об угрозе. Кроме того, серверные механизмы, скрывающие артефакты на клиенте, и использование инсталляторов делают традиционные сигнатурные и поведенческие детекции менее эффективными.

Практические рекомендации для защиты

Пересмотрите стратегию обнаружения: сочетайте мониторинг активности PowerShell, а также логов MSHTA и инсталляций MSI с поведением браузера и сетевыми аномалиями.
Внедрите эвристики, ориентированные на цепочки действий (например, последовательности «вставить → выполнить → загрузить»), а не только на отдельные команды в буфере обмена или CLI.
Мониторьте и ограничивайте выполнение непроверенных MSI-пакетов и запуск неизвестных скриптов из браузера; используйте политики Application Control.
Обратите внимание на серверные паттерны: Matrix Push C2 требует анализа взаимодействий с C2 и корреляции запросов, а не только клиентских артефактов.
Повышайте осведомлённость пользователей: тренинги по распознаванию поддельных веб-проверок и осторожному обращению с командами из буфера обмена.
Используйте визуальный анализ (например, pHash) как сигнал для расследования, но не как окончательное доказательство атрибуции.

Заключение

Фейковые Captcha превратились в удобный инструмент злоумышленников для доставки и исполнения вредоносного ПО, сочетая визуальные подделки с разнообразием техник исполнения — от PowerShell через буфер обмена до MSI-инсталляторов и Matrix Push C2. Борьба с этой угрозой требует сложных, многослойных подходов: улучшенных эвристик обнаружения, мониторинга серверных взаимодействий и регулярного обучения пользователей. Визуальная схожесть с легитимными интерфейсами должна восприниматься как тревожный сигнал, а не как доказательство легитимности.

Исходные данные: анализ по набору данных Censys с использованием перцептивного хэширования (pHash) и последующим поведенческим расследованием.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: