Изощренные фишинговые атаки с поддельными капчами в Windows

Недавние расследования выявили новую форму кибератаки, направленную на пользователей Windows. Злоумышленники создают поддельные страницы с CAPTCHA, которые вводят жертву в заблуждение и заставляют выполнять вредоносные команды через стандартное диалоговое окно запуска системы. Об этом предупреждает исследование компании Trend Micro, раскрывающее детали сложных методов внедрения и распространения атак.

Механизм атаки и способы доставки

Основой данной угрозы служат фишинговые электронные письма, вредоносная реклама и SEO-отравление, которые перенаправляют пользователей на тщательно замаскированные поддельные CAPTCHA-страницы. В результате пользователь, будучи убеждённым в легитимности просьбы, копирует и вставляет в окно запуска Windows вредоносные команды, которые затем выполняются в памяти системы, зачастую обходя традиционные средства защиты.

Ключевые особенности механизма атаки:

• Использование безобидно выглядящих файлов (MP3, PDF) с встроенным запутанным JavaScript-кодом;
• Вызов вредоносных команд через узлы HTML-приложений Microsoft, mshta.exe и PowerShell;
• Обфускация и динамическое формирование JavaScript для обхода антивирусных решений;
• Добыча дополнительных полезных нагрузок с удалённых серверов, включая такие вредоносные программы, как Lumma Stealer, AsyncRAT, Rhadamanthys и XWorm.

Обман с использованием поддельных CAPTCHA

Поддельные CAPTCHA-страницы тщательно имитируют настоящие, часто возникая при посещении обыкновенных, на первый взгляд, веб-сайтов. Злоумышленники создают ощущение срочности, ссылаясь в фишинговых письмах на несуществующие оставленные пользователем предметы. Это побуждает жертву оперативно вводить данные и выполнять команды.

Особое внимание уделяется легитимности ссылок: в письмах embedded URL-адреса перенаправляют пользователей на поддельные домены с CAPTCHA, что улучшает доверие и повышает вероятность успешной атаки.

Роль SEO-отравления и примеры угроз

В дополнение к фишинговым письмам злоумышленники применяют SEO-отравление, компрометируя легитимные сайты и влияя на выдачу поисковых систем. Анализ вредоносного кода выявил следующую интересную тактику:

• Вредоносный JavaScript внедряется в mp3-файлы, например lyricalsync.mp3, который одновременно воспроизводит законную звуковую дорожку и содержит опасную полезную нагрузку;
• Код динамически генерируется и многократно кодируется, чтобы усложнить его обнаружение;
• После выполнения скрипты загружают дополнительные модули с внешних серверов, связываясь с множеством вредоносных семейств.

Это свидетельствует о сложной архитектуре атаки с сетью взаимосвязанных Indicators of Compromise (IOCs).

Перспективы развития и рекомендации по защите

Исследователи предполагают, что в ближайшем будущем эти атаки могут эволюционировать, внедряя новые форматы полезных нагрузок и распространяясь через социальные сети.

Для эффективной защиты эксперты рекомендуют следующие меры:

• Отключать доступ к вызову диалогового окна запуска (Run);
• Внедрять строгие политики разрешений для пользователей и приложений;
• Улучшать настройки безопасности браузера и блокировать подозрительные сценарии;
• Повышать осведомленность пользователей о приемах фишинга и мошенничествах с CAPTCHA;
• Внедрять непрерывный мониторинг поведения скриптов и активностей, связанных с буфером обмена;
• Использовать методы прогнозирующего машинного обучения для выявления угроз на основе характеристик файлов.

Ключевым фактором остаётся упреждающий анализ и мониторинг, позволяющие своевременно обнаруживать и нейтрализовать такие сложные кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.