Дослідники кібербезпеки з McAfee Labs виявили широко поширену кампанію з розповсюдження шкідливого програмного забезпечення під назвою ClickFix, яка використовує підроблені сторінки CAPTCHA для зараження користувачів шкідливим програмним забезпеченням Lumma Stealer. Про це повідомляє PCMag.
Зазначається, що атака має глобальний масштаб і в основному націлена на користувачів, які шукають піратські ігри, включно з Black Myth: Wukong, а також користувачів GitHub.
«Коли користувачі шукають в Інтернеті безкоштовні або зламані версії популярних відеоігор, вони можуть натрапити на онлайн-форуми, публікації спільноти або загальнодоступні сховища, які перенаправляють їх на шкідливі посилання», — попередили в McAfee.
Атака поширюється двома основними шляхами. У першому випадку користувачі, які шукають піратські або зламані ігри, перенаправляються на шкідливі сторінки CAPTCHA.
Другий сценарій використовує фішингові електронні листи, які видають себе за GitHub, щоб повідомляти користувачам про вигадані ризики безпеці в їхніх проєктах.
В обох сценаріях користувачам пропонуються підроблені сторінки CAPTCHA із проханням підтвердити, що вони люди. Щойно користувачі взаємодіють із цими сторінками, шкідливий сценарій приховано копіюється в їхній буфер обміну. Потім їх просять вставити та виконати цей сценарій, несвідомо розпочавши зараження зловмисним програмним забезпеченням у своїй системі.
Фальшивий тест CAPTCHA пропонує користувачу виконати кілька команд із клавіатури, які на перший погляд виглядають нешкідливими. Це включає в себе прохання користувача натиснути «Windows + R», що відкриє діалогове вікно запуску (спосіб запуску програм). Наступним кроком буде натиснути «CTRL + V», а потім ввести.
Якщо це зробити швидко, то користувач може не зрозуміти, що насправді CAPTCHA змусила його вставити сценарій PowerShell у діалогове вікно запуску, що призведе до завантаження і встановлення зловмисного програмного забезпечення Lumma Stealer на його ПК.
Кампанія ClickFix використовує кілька розумних способів уникнути виявлення. Серед них багаторівневе шифрування шкідливих сценаріїв, неправильне використання інструменту Windows під назвою mshta.exe для запуску прихованого коду та зашифровані AES-команди PowerShell, які використовуються для завантаження і встановлення Lumma Stealer.
Аналіз McAfee показує, що зловмисне програмне забезпечення зазвичай зберігається у тимчасовій папці користувача. Це місце, яке часто пропускається під час сканування безпеки.
Компанія запровадила захисні заходи, включно із блокуванням URL-адрес відомих підроблених сторінок CAPTCHA, та порівняно простіші способи виявлення незвичайного використання mshta.exe.
Щоб зменшити ризики, експерти радять не завантажувати зламане або піратське програмне забезпечення та застерігають користувачів бути обережними з небажаними електронними листами, навіть такими, що надходять із надійних джерел.
В основному фахівці наголошують на тому, що не потрібно копіювати та вставляти сценарії з неперевірених джерел, а також слід підтримувати програмне забезпечення безпеки в актуальному стані.
Ця кампанія ілюструє зміну тактики кіберзлочинців. Вони використовують загальну поведінку користувачів і довіряють знайомим вебелементам, таким як перевірка CAPTCHA. Постійна пильність і навчання мають вирішальне значення для підтримки кібербезпеки, оскільки ці загрози стають все більш витонченими.
Читайте також на ProIT, що боти краще розгадують CAPTCHA, аніж люди.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!