Ψεύτικα αιτήματα CAPTCHA, χρησιμοποιούνται με στόχο να διανέμουν malware.
Δείτε επίσης: Κυβερνοεπίθεση προκαλεί διακοπή της υπηρεσίας MoneyGram
Ένα CAPTCHA είναι ένας τύπος δοκιμής απόκρισης πρόκλησης που χρησιμοποιείται στους υπολογιστές για να προσδιορίσει εάν ο χρήστης είναι άνθρωπος. Αυτές οι δοκιμές έχουν σχεδιαστεί για να εμποδίζουν αυτοματοποιημένα προγράμματα και bot απαιτώντας από τους χρήστες να εκτελούν εργασίες που είναι εύκολες για τον άνθρωπο αλλά προκλητικές για μηχανές. Αυτά τα εργαλεία βοηθούν στην προστασία των ιστότοπων από ανεπιθύμητα μηνύματα και κατάχρηση, διασφαλίζοντας ότι μόνο ανθρώπινοι χρήστες μπορούν να εκτελούν ορισμένες ενέργειες, όπως τη δημιουργία λογαριασμών ή τη δημοσίευση σχολίων.
Συνήθως παρουσιάζουν προκλήσεις όπως «παραμορφωμένο κείμενο», «εργασίες αναγνώρισης εικόνας» ή «ηχητικές προτροπές» που απαιτούν ανθρώπινες γνωστικές δεξιότητες για να επιλυθούν. Πρόσφατα, αναλυτές κυβερνοασφάλειας στη SecureWorks προειδοποίησαν για ψεύτικα αιτήματα CAPTCHA που παρέχουν malware.
Τον Σεπτέμβριο του 2024, οι υπεύθυνοι αντιμετώπισης περιστατικών της Secureworks αποκάλυψαν δύο περιπτώσεις όπου οι χρήστες που αναζητούσαν υπηρεσίες ροής βίντεο στο Google κατευθύνθηκαν σε κακόβουλους ιστότοπους.
Ένα θύμα έψαχνε για ιστοτόπους αθλητικής ροής, ενώ ένα άλλο έψαχνε για επιλογές ροής ταινιών. Και οι δύο ανακατευθύνθηκαν σε μια παραπλανητική διεύθυνση URL που τους ώθησε να αποδείξουν ότι ήταν άνθρωποι πατώντας συγκεκριμένους συνδυασμούς πλήκτρων:
- “Windows + R” για να ανοίξετε το μενού “Εκτέλεση“.
- “CTRL + V” για να επικολλήσετε μια κωδικοποιημένη εντολή PowerShell
- “Enter” για να το εκτελέσετε
Αυτή η ενέργεια CAPTCHA, πυροδότησε τη λήψη ενός αρχείου ZIP που περιέχει malware, το οποίο εξήχθη στο \AppData\Local\Temp\file\Setup.exe στον υπολογιστή των θυμάτων.
Δείτε ακόμα: Η Deloitte αρνείται ότι κινδυνεύουν δεδομένα χρηστών μετά την παραβίαση
Στη συνέχεια, το κακόβουλο λογισμικό εκτέλεσε πρόσθετα εργαλεία, συμπεριλαμβανομένης μιας μετονομασμένης εφαρμογής BitTorrent (StrCmp.exe) και ενός βοηθητικού προγράμματος των Windows που ονομάζεται Search Indexer.
Οι ερευνητές της CTU της SecureWorks εντόπισαν ότι αυτή η μέθοδος επίθεσης χρησιμοποιήθηκε για την ανάπτυξη κακόβουλου λογισμικού infostealer, συγκεκριμένα παραλλαγών γνωστών ως Vidar και StealC, που έχουν σχεδιαστεί για τη συλλογή ευαίσθητων δεδομένων από μολυσμένα συστήματα.
Αυτή η επίθεση malware ενέχει σημαντικό κίνδυνο αποφεύγοντας τους «ελέγχους ασφαλείας του προγράμματος περιήγησης» και το κάνουν εκμεταλλευόμενοι ένα ψεύτικο CAPTCHA, για να ανοίξουν μια γραμμή εντολών στον υπολογιστή του θύματος. Στη συνέχεια, ο εισβολέας κατευθύνει τον χρήστη να εκτελέσει μη εξουσιοδοτημένο κώδικα και επίσης να αναπτύξει κακόβουλο λογισμικό όπως το “LummaC2 infostealer“.
Αυτή η παγκόσμια εκστρατεία έχει σημειωθεί σε άλλες περιοχές, όπως η Μέση Ανατολή, η Αυστραλία και η Γαλλία, με αναφορές να πραγματοποιούνται από τον Μάιο του 2024 έως τον Σεπτέμβριο του 2024.
Δείτε επίσης: Ευπάθεια στο Apache Tomcat επιτρέπει επιθέσεις Dos
Οι οργανισμοί θα πρέπει να είναι ιδιαίτερα προσεκτικοί σχετικά με τους υπαλλήλους που χρησιμοποιούν εταιρικά συστήματα για πρόσβαση σε υπηρεσίες ροής ή άλλο περιεχόμενο υψηλού κινδύνου, καθώς αυτά μπορεί να στοχοποιούνται από εκστρατείες ηλεκτρονικού phishing που αξιοποιούν αυτήν τη μέθοδο επίθεσης.
Πηγή: cybersecuritynews
