Поддельные CAPTCHA: Новый вектор распространения вредоносного ПО

Поддельные CAPTCHA: Новый вектор распространения вредоносного ПО

Недавнее исследование сервера управления (C2), проведенное с использованием платформы Censys, выявило тревожные тенденции в области кибербезопасности. В частности, анализ показал, как злоумышленники используют поддельные системы CAPTCHA для распространения вредоносного ПО. Данная статья раскрывает ключевые аспекты исследования и его последствия для защиты от киберугроз.

Общие сведения о проведенном исследовании

Исследование сосредоточилось на четырех хостах, два из которых оказались заражены вредоносным ПО. В ходе анализа были обнаружены различные потоки заражения и несколько типов вредоносных программ. Методы исследования включали:

  • Запрос информации о хостинге через Censys;
  • Детальное изучение образцов вредоносного ПО.

Первое обнаруженное вредоносное ПО: npad.exe

Первая вредоносная программа, идентифицированная в ходе расследования, называется npad.exe. Она связана с пакетным файлом PowerShell под именем drp.bat, который используется для загрузки и запуска drp.bat через команду PowerShell. Эта команда обрабатывает содержимое в кодировке Base64, что позволяет изменять настройки Windows Defender и облегчает загрузку исполняемых файлов.

Глубокий анализ, проведенный с помощью CAPE Sandbox, классифицировал npad.exe как Xworm, что подтверждает его опасную природу и потенциальное влияние.

Второе обнаруженное вредоносное ПО: JavaScript

Второе вредоносное программное обеспечение, обнаруженное в ходе исследования, содержит файл JavaScript, который связан с другой командой PowerShell и механизмом поддельного ввода CAPTCHA. Основной целью этой команды является загрузка файла JavaScript с именем onboarding, предназначенного для выполнения шеллкода. Важным моментом является комментарий в скрипте, который указывает на то, что он создан для обхода обнаружения «CrowdStrike».

Анализ CAPE Sandbox подтвердил, что данный файл JavaScript классифицируется как Sliver, что свидетельствует о его вредоносных намерениях и функциональности.

Выводы и значимость исследования

Это исследование иллюстрирует, как поддельные CAPTCHA используются для распространения вредоносных программ с использованием PowerShell и JavaScript. Важнейшие моменты, обнаруженные в ходе анализа:

  • Использование кодировки Base64 для обхода защитных решений;
  • Разнообразие методов развертывания вредоносных программ;
  • Эволюция стратегий злоумышленников в сфере киберугроз.

Ситуация требует повышенного внимания со стороны специалистов по кибербезопасности и применения более эффективных мер защиты для противодействия подобным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: