СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.03.2025
#Dev#ИБ#ИИ#Облака

Угроза FakeCaptcha: эволюция вредоносных атак и защиты

Угроза FakeCaptcha: эволюция вредоносных атак и защиты

Источник: labs.k7computing.com

Недавний отчет о киберугрозах освещает растущий уровень опасностей, связанных с кампанией FakeCaptcha, демонстрируя сложную инфраструктуру, использующую методы вредоносной рекламы для распространения различных типов вредоносного ПО.

Методы и инфраструктура

Кампания активно применяет домены с верхним уровнем «.shop», которые связаны с IP-адресами, принадлежащими Cloudflare. Это свидетельствует о попытках скрыть реальный хостинг.

Регистратором этих доменов неизменно выступает namecheap.com, в то время как большинство из них, похоже, происходит из Исландии. Это указывает на организованную и экономически эффективную работу.

Центральная роль Emmenhtal

Одним из ключевых элементов в методах распространения является Emmenhtal, загрузчик, связанный с различными типами вредоносного ПО, такими как:

  • Amadey
  • Danabot
  • Lumma Stealer

Этот загрузчик доставляет вредоносные файлы, замаскированные под веб-страницы с поддельной капчей, которые отслеживают взаимодействие пользователей через механизмы партнерского отслеживания.

Тactics and Techniques

PHP-скрипты, использующиеся для вредоносных программ, сильно запутаны, чтобы обойти традиционные меры блокировки рекламы. Основная зависимость от действий пользователя повышает вероятность успешного заражения:

  • Использование команд PowerShell, которые пользователи должны выполнять вручную.
  • Запутанные команды для выполнения полезной нагрузки HTA с использованием mshta.exe.

Сложность обнаружения

Полезная нагрузка проходит через двухэтапный процесс загрузки скриптов и обычно завершается развертыванием сложных сценариев PowerShell, насчитывающих более 20,000 строк, что существенно затрудняет анализ.

Одним из замеченных методов является контрабанда блоков скриптов, направленная на обход защиты от вредоносных программ в интерфейсе AMSI. Злоумышленники также используют скрипты из репозиториев GitHub, что говорит о совместном расширении возможностей вредоносного ПО, потенциально включая сегменты, сгенерированные искусственным интеллектом.

Заключение

Операция часто завершается развертыванием Lumma Stealer — продвинутой вредоносной программы, известной своей эффективностью в краже конфиденциальных данных пользователей. По мере совершенствования тактики злоумышленники, необходимо особое внимание уделить разработке средств обнаружения с использованием как возможностей OSINT, так и передовых продуктов безопасности, что будет иметь решающее значение для противодействия этим постоянным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: