Новая тактика киберпреступников: подделка CAPTCHA для атак

Киберпреступность продолжает эволюционировать, и недавние атаки подтвердили это, когда злоумышленники начали использовать поддельные системы проверки с помощью CAPTCHA для распространения вредоносных программ. Новая кампания, сосредоточенная на платформах Telegram и нацеленная на сообщества, работающие с криптовалютами, демонстрирует изощренность современных киберугроз.
Новая тактика атак
Последние нападения представляют собой эволюцию предыдущих методов, использовавших простые поддельные URL-адреса, основанные на CAPTCHA. Злоумышленники запустили цепочку заражения через платформу X (ранее известную как Twitter), внедряясь в легальные обсуждения и обманывая пользователей на присоединение к мошенническим каналам Telegram. Следующий этап атак выглядит следующим образом:
- Злоумышленники используют проверенные аккаунты или создают ложные учетные записи.
- Они отвечают на популярные посты независимых крипто-авторитетов.
- Вводят пользователей в заблуждение, побуждая к переходу по вредоносным ссылкам на Telegram.
Техника проверки с помощью поддельного бота
Попав в канал, жертвы сталкиваются с требованием пройти проверку личности через поддельного бота, имитирующего «Safeguard» — популярный Telegram-бот для проверки пользователей. Этот бот, хотя и выглядит легитимным, на самом деле распространяет различные вредоносные программы, адаптированные под операционные системы жертв:
- Atomic Stealer для компьютеров Mac.
- Вредоносный процесс копирования команд для Windows.
Путь заражения через PowerShell
Второй этап атаки начинается с выполнения сценария PowerShell, который загружается с сервера управления (C2) злоумышленника. Этот сценарий загружает загрузчик, который, в свою очередь, загружает Lumma Stealer. Загрузчик Emmenthal использует mshta.exe для извлечения и выполнения HTA-файла с сервера C2, применяя запутанные сценарии PowerShell в памяти для доставки Lumma Stealer.
Проактивные меры защиты
Специалисты по кибербезопасности подчеркивают важность проактивной защиты. Так, технология Morphisec Automated Moving Target Defense (AMTD) предназначена для предотвращения таких атак, рандомизируя область атаки и изменяя форму памяти приложений. Такой подход позволяет нейтрализовать угрозы, такие как Lumma Stealer, на ранней стадии.
Система защиты AMTD становится важным инструментом в борьбе с киберугрозами, обеспечивая надежную оборону от хакеров и их атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



