Манипуляции с ссылками и поддельные CAPTCHA: новая угроза безопасности

Новая волна кибермошенничества с поддельными сайтами Booking.com и вредоносными скриптами

Современные киберпреступники всё чаще используют сложные схемы для обмана пользователей, особенно в сфере путешествий. Последние исследования показывают, что манипуляция ссылками на игровых веб-сайтах и в социальных сетях через спонсорскую рекламу стала эффективным инструментом для перенаправления пользователей на мошеннические сайты, имитирующие популярный сервис Booking.com.

Механизм атаки и основные риски

Злоумышленники эксплуатируют тот факт, что около 40% путешественников предпочитают бронировать отели через обычный онлайн-поиск. Эта особенность поведения создает уязвимость, которую мошенники используют для привлечения жертв.

Попадая по обманчивой ссылке, пользователь оказывается на сайте со поддельной капчей. Эта капча просит предоставить доступ к буферу обмена, что дает злоумышленникам возможность считывать данные, которые пользователь копирует. На первый взгляд невинная операция оказывается началом цепочки вредоносных действий:

• Пользователь вводит или копирует предложенный контент и вставляет его в диалоговое окно запуска Windows.
• Если выполнение инструкции происходит, открывается окно PowerShell, которое загружает файл ckjg.exe.
• Далее запускается Stub.exe, идентифицированный Malwarebytes и ThreatDown как черный ход AsyncRAT.

AsyncRAT — это инструмент удалённого доступа (RAT), предоставляющий злоумышленнику полный контроль над заражённым устройством. Такая угроза ставит под серьёзный риск конфиденциальность и безопасность данных пользователей.

Рекомендации по защите от новой угрозы

Чтобы минимизировать риск заражения и утечки данных, эксперты советуют:

• Никогда не выполнять без детального анализа команды или инструкции, полученные с подозрительных веб-сайтов.
• Использовать современное ПО для защиты от вредоносного ПО, способное блокировать подозрительные веб-сайты и скрипты.
• Устанавливать браузерные расширения, предназначенные для предотвращения доступа к мошенническим доменам.
• Отключать JavaScript в браузере для снижения риска эксплуатации уязвимости execCommand("copy"), хотя это может повлиять на функциональность многих сайтов.
• Использовать разные браузеры для разных видов деятельности, что ограничит воздействие потенциально опасных сайтов.

Техническое описание уязвимости

В отчёте о функциях JavaScript была выявлена конкретная уязвимость, связанная с функцией execCommand("copy"). Она отвечает за доступ к буферу обмена, позволяя вредоносным скриптам считывать и модифицировать скопированные данные. Отключение или ограничение работы данной функции может снизить вероятность успешной атаки, но при этом негативно скажется на работе многих легитимных веб-сервисов.

Заключение

Современные методы социальной инженерии, дополняемые техническими уязвимостями, делают киберопасности в сфере онлайн-услуг всё более изощрёнными. Пользователям критически важно сохранять бдительность при работе с веб-ресурсами, особенно когда речь идет о выполнении инструкций, связанных с системным доступом. Активная защита, внимательность и использование современных инструментов безопасности — лучшие способы избежать попадания в ловушки кибермошенников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.