Поддельные CAPTCHA: Новый вектор распространения вредоносного ПО

Недавнее исследование сервера управления (C2), проведенное с использованием платформы Censys, выявило тревожные тенденции в области кибербезопасности. В частности, анализ показал, как злоумышленники используют поддельные системы CAPTCHA для распространения вредоносного ПО. Данная статья раскрывает ключевые аспекты исследования и его последствия для защиты от киберугроз.
Общие сведения о проведенном исследовании
Исследование сосредоточилось на четырех хостах, два из которых оказались заражены вредоносным ПО. В ходе анализа были обнаружены различные потоки заражения и несколько типов вредоносных программ. Методы исследования включали:
- Запрос информации о хостинге через Censys;
- Детальное изучение образцов вредоносного ПО.
Первое обнаруженное вредоносное ПО: npad.exe
Первая вредоносная программа, идентифицированная в ходе расследования, называется npad.exe. Она связана с пакетным файлом PowerShell под именем drp.bat, который используется для загрузки и запуска drp.bat через команду PowerShell. Эта команда обрабатывает содержимое в кодировке Base64, что позволяет изменять настройки Windows Defender и облегчает загрузку исполняемых файлов.
Глубокий анализ, проведенный с помощью CAPE Sandbox, классифицировал npad.exe как Xworm, что подтверждает его опасную природу и потенциальное влияние.
Второе обнаруженное вредоносное ПО: JavaScript
Второе вредоносное программное обеспечение, обнаруженное в ходе исследования, содержит файл JavaScript, который связан с другой командой PowerShell и механизмом поддельного ввода CAPTCHA. Основной целью этой команды является загрузка файла JavaScript с именем onboarding, предназначенного для выполнения шеллкода. Важным моментом является комментарий в скрипте, который указывает на то, что он создан для обхода обнаружения «CrowdStrike».
Анализ CAPE Sandbox подтвердил, что данный файл JavaScript классифицируется как Sliver, что свидетельствует о его вредоносных намерениях и функциональности.
Выводы и значимость исследования
Это исследование иллюстрирует, как поддельные CAPTCHA используются для распространения вредоносных программ с использованием PowerShell и JavaScript. Важнейшие моменты, обнаруженные в ходе анализа:
- Использование кодировки Base64 для обхода защитных решений;
- Разнообразие методов развертывания вредоносных программ;
- Эволюция стратегий злоумышленников в сфере киберугроз.
Ситуация требует повышенного внимания со стороны специалистов по кибербезопасности и применения более эффективных мер защиты для противодействия подобным угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



