Фишинговая кампания использует CAPTCHA для скрытной доставки вредоносного ПО
Компания CloudSek обнаружила сложную методику распространения вредоносного ПО Lumma Stealer, которая представляет серьезную угрозу для пользователей Windows. Эта техника основывается на обманных страницах проверки, которые заставляют пользователя незаметно выполнить вредоносные команды.
Механизм работы фишинговой кампании
Фишинговая кампания использует проверенные платформы, такие как Amazon S3 и различные сети доставки контента (CDN), для размещения фишинговых сайтов. Эти сайты используют модульную доставку вредоносного ПО, когда первоначальный исполняемый файл загружает дополнительные компоненты, что усложняет обнаружение и анализ.
Цепочка инфекции начинается с того, что злоумышленники привлекают жертв на фишинговые сайты, имитирующие страницы проверки CAPTCHA от Google. Эти страницы представлены как обязательный этап проверки идентичности, что вводит пользователей в заблуждение, заставляя их думать, что они проходят стандартную проверку безопасности.
Когда пользователь нажимает кнопку «Подтвердить», активируется скрытая JavaScript-функция, которая загружает PowerShell-команду в буфер обмена пользователя без его ведома. Затем фишинговая страница инструктирует пользователя выполнить необычные действия, такие как открытие окна «Выполнить» (Win+R) и вставка скопированной команды. Эти действия приводят к выполнению команды PowerShell в скрытом окне, что делает ее практически незаметной для пользователя.
Основная сила атаки заключается в скрытой PowerShell-команде, которая соединяется с удаленным сервером для загрузки дополнительного содержимого, включая файл с инструкциями по получению и исполнению Lumma Stealer. После установки вредоносного ПО на систему, оно устанавливает соединения с доменами, управляемыми злоумышленниками. Это позволяет преступникам скомпрометировать систему, красть конфиденциальные данные и, возможно, запускать дальнейшие злонамеренные действия.
Меры предосторожности
Чтобы защититься от этой фишинговой кампании, пользователям и организациям необходимо уделять первоочередное внимание повышению осведомленности о безопасности и внедрять проактивные меры защиты. Критический первый шаг — обучение пользователей.
Из-за обманчивого характера этих атак, замаскированных под легитимные процессы проверки, важно информировать пользователей о опасностях выполнения подозрительных команд. Пользователи должны быть обучены распознавать фишинговые тактики и задавать вопросы по поводу неожиданных CAPTCHA-проверок или незнакомых инструкций, которые требуют выполнения системных команд.
Помимо обучения, важно использование надежной защиты конечных точек для борьбы с атаками на основе PowerShell. Организации должны следить за тем, чтобы их системы безопасности могли обнаруживать и блокировать такие активности. Продвинутые средства защиты с анализом поведения и мониторингом в реальном времени могут выявлять необычные исполнения команд, помогая предотвратить загрузку и установку вредоносного ПО.
Организации также должны подходить к проблеме проактивно, контролируя сетевой трафик на предмет подозрительной активности. Команды безопасности должны обращать внимание на соединения с недавно зарегистрированными или необычными доменами, которые часто используются злоумышленниками для распространения вредоносных программ или кражи данных.
Наконец, регулярные обновления систем с последними патчами являются важным механизмом защиты. Роллап патчей устраняет известные уязвимости, ограничивая возможности для злоумышленников использовать устаревшее ПО в своих попытках распространения вредоносного ПО, такого как Lumma Stealer.
Источник: TechRadar
