Фейковые CAPTCHA стали новым оружием киберпреступников: многоэтапные атаки крадут данные и открывают бэкдоры

Киберпреступники активно используют поддельные CAPTCHA-проверки для распространения опасных троянов и инфостилеров, включая Lumma Stealer, Rhadamanthys, AsyncRAT и XWorm. Согласно исследованию экспертов Trend Micro, злоумышленники внедряют сложные многоэтапные схемы заражения, заставляя жертв вручную выполнять вредоносные команды через окно «Выполнить» в Windows. Такой подход позволяет злоумышленникам обходить традиционные средства защиты, поскольку вредоносный код запускается в памяти, не оставляя следов на диске, что усложняет его обнаружение файловыми антивирусами.

Описание

Атаки начинаются с фишинговых писем, вредоносной рекламы (malvertising) или SEO-отравления поисковой выдачи. Пользователи попадают на поддельные веб-страницы, где им предлагается пройти «проверку CAPTCHA». Вместо стандартного ввода символов жертвам предлагается скопировать и вставить команду в окно «Выполнить» (Win + R). Эти команды запускают такие процессы, как mshta.exe или PowerShell, которые, в свою очередь, загружают многослойно зашифрованные скрипты. Интересно, что злоумышленники часто прячут вредоносный код в MP3-файлы, например, в легальные аудиотреки с платформы Jamendo, что помогает им избежать подозрений. Как только скрипт активируется, он загружает и выполняет полезную нагрузку прямо в оперативной памяти, что делает атаку особенно скрытной.

Основными способами распространения таких атак являются фишинг, SEO-отравление и использование заражённых MP3-файлов. В фишинговых письмах злоумышленники используют убедительные темы, например, «Срочно: забытые вещи гостя», чтобы побудить пользователей перейти по ссылке на фальшивую CAPTCHA-страницу. В случае SEO-отравления вредоносные сайты маскируются под легальные ресурсы - например, страницы с информацией о достопримечательностях, - и занимают высокие позиции в поисковой выдаче Google. Третий метод предполагает внедрение JavaScript в аудиофайлы: когда пользователь открывает такой MP3-файл, запускается цепочка заражения через mshta.exe.

Главными целями киберпреступников являются кража конфиденциальных данных и получение удалённого доступа к заражённым системам. Такие инфостилеры, как Lumma Stealer и Rhadamanthys, собирают логины, пароли, cookies и данные криптокошельков, а трояны AsyncRAT и XWorm создают бэкдоры для полного контроля над устройством. Кроме того, злоумышленники активно используют методы обхода защиты, внедряя вредоносный код в легальные системные процессы, такие как OOBE-Maintenance.exe и wmplayer.exe, а также применяя технику DLL-подгрузки через файлы вроде goopdate.dll.

Чтобы минимизировать риски таких атак, эксперты рекомендуют принять ряд мер. Во-первых, для обычных пользователей целесообразно отключить окно «Выполнить» (Win + R), чтобы исключить ручной ввод вредоносных команд. Во-вторых, необходимо строго следовать принципу минимальных привилегий, ограничивая права доступа пользователей к критическим системным функциям. В-третьих, важно контролировать выполнение скриптов, блокируя запуск mshta.exe и powershell.exe в ненадёжных контекстах. Также рекомендуется усилить мониторинг аномальной активности, такой как необычные операции с буфером обмена или запуск браузеров с подозрительными параметрами, например: --disable-gpu.

Специалисты ожидают, что злоумышленники будут и дальше совершенствовать свои методы, внедряя полезную нагрузку в новые форматы файлов и используя социальные сети для распространения вредоносных ссылок. В этих условиях ключевыми мерами противодействия становятся не только технические решения, но и обучение пользователей основам кибербезопасности. Повышение осведомлённости о подобных угрозах поможет снизить количество успешных атак и минимизировать ущерб для частных лиц и организаций.

Индикаторы компрометации

IPv4

185.7.214.108

Domains

bi.yuoei.shop
buyvault.shop
check.symad.icu
Kajec.icu
tool-back.com
vapotrust.com
x63-hello.live

URLs

http://185.7.214.108/a.mp4
http://fessoclick.com/clck/dub.txt
http://ok.fish-cloud-jar.us
https://b8t.watchcollision.xyz/7456f63a46cc318334a70159aa3c4291
https://bi.youei.shop/750413b4s68716bc759e0459752a0be747830189873b.xlsm
https://check.symad.icu/gkcxv.google?i=6f8502e1-2fca-4663-9562-e39aadcdf072
https://check.symad.icu/gkcxv.google?i=f3f04e08-9474-4aa2-bc7f-911bc3916134
https://ernier.shop/lyricalsync.mp3
https://guestdocfound.com/
https://guest-idreserve.com/
https://guestitemsfound.com/
https://guests-reservid.com/
https://idguset-reserve.com/
https://itemsfoundguest.com/
https://kajec.icu/f04b18c2f7ff48bdbf0670138f9eb24f.txt
https://pn2.gapdevoutlycitrus.shop/939e2f74d1743cbc2f9fab0130be1f38
https://pn3.gapdevoutlycitrus.shop:443/809e682faadb839aaf9e5e6b171dfa3e
https://sns.XX.Xa/link.php?url=///guest-idreserve.com
https://sns.XX.Xa/link.php?url=///guests-reservid.com
https://video-lga3-2.xx.fbcdn.net/o1/v/t2/f2/m69/AQMYDglrdW4sk55SwyquB-mWiyjXPtBx5gbYQTJ3SMwOEa5ckmSPnP5KOVDQ-OunqkQIiObQ5hvJnK47z8X0Qkwr.mp4?strext=1&_nc_cat=105&_nc_sid=5e9851&_nc_ht=video-lga3-2.xx.fbcdn.net&_nc_ohc=67rU1lEncaEQ7kNvgHl3F55&efg=eyJ2ZW5jb2RlX3RhZyI6Inhwdl9wcm9ncmVzc2l2ZS5GQUNFQk9PSy4uQzMuNzIwLmRhc2hfaDI2NC1iYXNpYy1nZW4yXzcyMHAiLCJ4cHZfYXNzZXRfaWQiOjk2NDcyMjc2ODM0MzMzNSwiYXNzZXRfYWdlX2RheXMiOjE4NzUsInZpX3VzZWNhc2VfaWQiOjEwMTIyLCJkdXJhdGlvbl9zIjoxLCJ1cmxnZW5fc291cmNlIjoid3d3In0%3D&ccb=17-1&vs=13149a0c2f5eea9c&_nc_vs=HBksFQIYOnBhc3N0aHJvdWdoX2V2ZXJzdG9yZS9HQkNPNFJ5N1pOTjEzNllGQUdPeklHSGN5Wk02Ym1kakFBQUYVAALIAQAVAhg6cGFzc3Rocm91Z2hfZXZlcnN0b3JlL0dJdldCQVg2cENOdC1UTUpBQUFBQUFBc254a3FidjRHQUFBRhUCAsgBACgAGAAbAogHdXNlX29pbAExEnByb2dyZXNzaXZlX3JlY2lwZQExFQAAJs7Ez96g2rYDFQIoAkMzLBc_8Mi0OVgQYhgZZGFzaF9oMjY0LWJhc2ljLWdlbjJfNzIwcBEAdQIA&_nc_zt=28&oh=00_AYFv66-Sd7Jy-0lNvkKUg2Kb_jwG0eSqoP08p8i3q07zaQ&oe=67DFDEAD&dl=1
https://viewer-vccpass.com/in.php?action=1
https://w19-seasalt.com/5yV847cNSBk97jya.html
https://w19-seasalt.com/mbDjBsRmxM1LreEp.html
https://x63-hello.live/4jj0zJALq7txS3qW.html
https://x63-hello.live/J5a5WFr1sJBU7zvr.html
https://x63-hello.live/xkF66hfe3HwquFTY.html
https://yedik.shop:443/tech_house_future.mp3
https://zb-files.oss-ap-southeast-1.aliyuncs.com/DPST_doc.mp3

SHA1

d9f3f678b853e270915dcc4ac0bf0cd37a448ebb
df0417889347c822d5b643566a1565971c5450b2

SHA256

028ddb2442aa0387a66c2c02d650e2620b24a569fc4a8366a762431a11209f94
07253a1e6616775fcf3fa678512f2e18c0b557b043127b14b3446aa352e99d49
1d3ac3369ce2469bdeabdfb9ce770848e726295771187e8442aa83aa27d40040
41ece1dbce5dd8a737b47340e4289e09c7e2f29ebfecc82a987a4de64a1f5178
4628462f5deb22438e2eb96aa8352264c6001fb994f0b193ecd839ce5421e82a
75eb739508b633ec72600753b5f7848c2f02961a93251726a80ce0c0458355e0
9ea6a61cec03421aa7e14aa9c78dc25491bb3169b002b6513e3c4c9dff249beb
b39eec54e71b92dcbfed1241b2ec2e77bb1d99fc274903f16c974c64656edbbc
cb33d8860e275ed1bb222f07e833c8e441369d7137bb29795a9db283b36b33fa
dd8c688c4366bb144136404af5d9e4568ecb632ce3f8468f9ad48c21e6fe3e5b
f25e6acd68c57b6116a048ab737c8d16527858d0c5ee3cd5c90e9b470c30c0b1
f43b4138d5b60d8db05fc9c382f2e6430cf89e1f622a04186c0748b1be94cd3e
f86259193d9e20a33d2d458cc1a2be1bd1448c939ffde9cceb1c0ad7bc24e9d6