Эксперты Trend Micro обнаружили новую волну атак, в которых злоумышленники маскируют вредоносные сценарии под CAPTCHA-проверки. Жертв обманом заставляют вставлять опасные команды в окно «Выполнить» Windows, что приводит к загрузке шпионского ПО и троянов, включая Lumma Stealer, Rhadamanthys, AsyncRAT и XWorm.
Описание
Цепочка атак
Атаки начинаются с фишинговых писем, вредоносной рекламы (malvertising) или SEO-отравления поисковой выдачи. Пользователи видят поддельную страницу с CAPTCHA, которая требует выполнить «проверку»:
- Скопировать и вставить команду в Win + R, запускающую mshta.exe или PowerShell.
- Команда загружает многослойно зашифрованный скрипт, часто скрытый в MP3-файлах (например, легальных треках с Jamendo).
- Полезная нагрузка выполняется в памяти, минуя файловые антивирусы.
Основные векторы атак
- Фишинг: Письма с темами вроде «Срочно: забытые вещи гостя» содержат ссылки на фейковые CAPTCHA-страницы.
- SEO-отравление: Вредоносные сайты маскируются под легитимные (например, информацию о достопримечательностях) и занимают топ в поиске Google.
- Вредоносные MP3: Аудиофайлы с внедрённым JavaScript запускают цепочку заражения через mshta.exe.
Цели и последствия
Атаки направлены на:
- Кражу данных: Lumma Stealer и Rhadamanthys собирают логины, cookies, данные криптокошельков.
- Удалённый доступ: AsyncRAT и XWorm открывают бэкдоры для контроля над системами.
- Обход защиты: Использование легитимных процессов (OOBE-Maintenance.exe, wmplayer.exe) и DLL-подгрузки (goopdate.dll).
Рекомендации по защите
- Отключите окно «Выполнить» (Win + R) для рядовых пользователей.
- Ограничьте права доступа по принципу минимальных привилегий.
- Контролируйте выполнение скриптов: Блокируйте mshta.exe, powershell.exe в ненадёжных контекстах.
- Мониторьте аномалии: Необычную активность буфера обмена или запуск браузеров с параметрами --disable-gpu.
Злоумышленники будут расширять арсенал, внедряя полезную нагрузку в новые форматы файлов и используя соцсети для распространения. Требуется усиление мониторинга и обучение пользователей.
Индикаторы компрометации
IPv4
- 185.7.214.108
Domains
- bi.yuoei.shop
- buyvault.shop
- check.symad.icu
- Kajec.icu
- tool-back.com
- vapotrust.com
- x63-hello.live
URLs
- http://185.7.214.108/a.mp4
- http://fessoclick.com/clck/dub.txt
- http://ok.fish-cloud-jar.us
- https://b8t.watchcollision.xyz/7456f63a46cc318334a70159aa3c4291
- https://bi.youei.shop/750413b4s68716bc759e0459752a0be747830189873b.xlsm
- https://check.symad.icu/gkcxv.google?i=6f8502e1-2fca-4663-9562-e39aadcdf072
- https://check.symad.icu/gkcxv.google?i=f3f04e08-9474-4aa2-bc7f-911bc3916134
- https://ernier.shop/lyricalsync.mp3
- https://guestdocfound.com/
- https://guest-idreserve.com/
- https://guestitemsfound.com/
- https://guests-reservid.com/
- https://idguset-reserve.com/
- https://itemsfoundguest.com/
- https://kajec.icu/f04b18c2f7ff48bdbf0670138f9eb24f.txt
- https://pn2.gapdevoutlycitrus.shop/939e2f74d1743cbc2f9fab0130be1f38
- https://pn3.gapdevoutlycitrus.shop:443/809e682faadb839aaf9e5e6b171dfa3e
- https://sns.XX.Xa/link.php?url=///guest-idreserve.com
- https://sns.XX.Xa/link.php?url=///guests-reservid.com
- https://video-lga3-2.xx.fbcdn.net/o1/v/t2/f2/m69/AQMYDglrdW4sk55SwyquB-mWiyjXPtBx5gbYQTJ3SMwOEa5ckmSPnP5KOVDQ-OunqkQIiObQ5hvJnK47z8X0Qkwr.mp4?strext=1&_nc_cat=105&_nc_sid=5e9851&_nc_ht=video-lga3-2.xx.fbcdn.net&_nc_ohc=67rU1lEncaEQ7kNvgHl3F55&efg=eyJ2ZW5jb2RlX3RhZyI6Inhwdl9wcm9ncmVzc2l2ZS5GQUNFQk9PSy4uQzMuNzIwLmRhc2hfaDI2NC1iYXNpYy1nZW4yXzcyMHAiLCJ4cHZfYXNzZXRfaWQiOjk2NDcyMjc2ODM0MzMzNSwiYXNzZXRfYWdlX2RheXMiOjE4NzUsInZpX3VzZWNhc2VfaWQiOjEwMTIyLCJkdXJhdGlvbl9zIjoxLCJ1cmxnZW5fc291cmNlIjoid3d3In0%3D&ccb=17-1&vs=13149a0c2f5eea9c&_nc_vs=HBksFQIYOnBhc3N0aHJvdWdoX2V2ZXJzdG9yZS9HQkNPNFJ5N1pOTjEzNllGQUdPeklHSGN5Wk02Ym1kakFBQUYVAALIAQAVAhg6cGFzc3Rocm91Z2hfZXZlcnN0b3JlL0dJdldCQVg2cENOdC1UTUpBQUFBQUFBc254a3FidjRHQUFBRhUCAsgBACgAGAAbAogHdXNlX29pbAExEnByb2dyZXNzaXZlX3JlY2lwZQExFQAAJs7Ez96g2rYDFQIoAkMzLBc_8Mi0OVgQYhgZZGFzaF9oMjY0LWJhc2ljLWdlbjJfNzIwcBEAdQIA&_nc_zt=28&oh=00_AYFv66-Sd7Jy-0lNvkKUg2Kb_jwG0eSqoP08p8i3q07zaQ&oe=67DFDEAD&dl=1
- https://viewer-vccpass.com/in.php?action=1
- https://w19-seasalt.com/5yV847cNSBk97jya.html
- https://w19-seasalt.com/mbDjBsRmxM1LreEp.html
- https://x63-hello.live/4jj0zJALq7txS3qW.html
- https://x63-hello.live/J5a5WFr1sJBU7zvr.html
- https://x63-hello.live/xkF66hfe3HwquFTY.html
- https://yedik.shop:443/tech_house_future.mp3
- https://zb-files.oss-ap-southeast-1.aliyuncs.com/DPST_doc.mp3
SHA1
- d9f3f678b853e270915dcc4ac0bf0cd37a448ebb
- df0417889347c822d5b643566a1565971c5450b2
SHA256
- 028ddb2442aa0387a66c2c02d650e2620b24a569fc4a8366a762431a11209f94
- 07253a1e6616775fcf3fa678512f2e18c0b557b043127b14b3446aa352e99d49
- 1d3ac3369ce2469bdeabdfb9ce770848e726295771187e8442aa83aa27d40040
- 41ece1dbce5dd8a737b47340e4289e09c7e2f29ebfecc82a987a4de64a1f5178
- 4628462f5deb22438e2eb96aa8352264c6001fb994f0b193ecd839ce5421e82a
- 75eb739508b633ec72600753b5f7848c2f02961a93251726a80ce0c0458355e0
- 9ea6a61cec03421aa7e14aa9c78dc25491bb3169b002b6513e3c4c9dff249beb
- b39eec54e71b92dcbfed1241b2ec2e77bb1d99fc274903f16c974c64656edbbc
- cb33d8860e275ed1bb222f07e833c8e441369d7137bb29795a9db283b36b33fa
- dd8c688c4366bb144136404af5d9e4568ecb632ce3f8468f9ad48c21e6fe3e5b
- f25e6acd68c57b6116a048ab737c8d16527858d0c5ee3cd5c90e9b470c30c0b1
- f43b4138d5b60d8db05fc9c382f2e6430cf89e1f622a04186c0748b1be94cd3e
- f86259193d9e20a33d2d458cc1a2be1bd1448c939ffde9cceb1c0ad7bc24e9d6
