Исследователь Gi7w0rm представил анализ нового фреймворка для проведения атак с использованием поддельных капч - HuluCaptcha. Этот метод активно применяется злоумышленниками для распространения вредоносного ПО, маскируясь под легитимные системы проверки, такие как Google reCAPTCHA или Cloudflare Turnstyle.
Описание
Атака начинается с внедрения вредоносного JavaScript на скомпрометированный сайт. Код проверяет операционную систему и браузер жертвы, после чего перенаправляет её на поддельную страницу капчи. Если пользователь выполняет инструкции (например, вставляет команду в Windows Run), его устройство заражается. В случае с HuluCaptcha жертвам предлагается выполнить команду PowerShell, которая загружает и исполняет вредоносный скрипт с удалённого сервера.
Одной из ключевых особенностей HuluCaptcha является система отслеживания действий пользователя. Фреймворк фиксирует клики по элементам капчи, попытки нажатия комбинации Win+R и даже успешное выполнение вредоносной команды. После заражения жертва перенаправляется на исходный сайт с параметром verified=true, чтобы избежать повторного срабатывания атаки.
Исследование также выявило связь с компрометацией WordPress-сайтов. Злоумышленники используют скрытые бэкдоры, такие как плагин core-handler2, который создаёт административную учётную запись backupsystems и маскирует её от стандартных механизмов WordPress. Аналогичный бэкдор был обнаружен в файле функций темы Dummy.
Помимо dvir.de, аналогичная схема атаки была зафиксирована на сайте andoks.com.ph, где вредоносный код внедрён в несколько JavaScript-файлов. В этом случае злоумышленники использовали альтернативный метод заражения - выполнение MSI-пакета через msiexec.
HuluCaptcha демонстрирует эволюцию тактик злоумышленников, которые всё чаще используют доверие пользователей к капчам для распространения вредоносного ПО. В списке индикаторов компрометации (IoC) фигурируют домены analytiwave.com, amoliera.com, security.flargyard.com и другие, связанные с этой кампанией.
Быстрое реагирование администраторов сайта dvir.de позволило сократить период активной компрометации до 5 дней, однако другие жертвы могут оставаться под контролем злоумышленников значительно дольше. Исследователи рекомендуют владельцам WordPress-сайтов проверять наличие подозрительных плагинов и пользователей, а обычным пользователям - избегать выполнения незнакомых команд, даже если они представлены как часть «проверки безопасности».
Индикаторы компрометации
IPv4 Port Combinations
- 91.200.14.69:7712
Domains
- amcl.com
- amoliera.com
- amoliera.info
- anallyticsnodde.com
- analyticnodes.com
- analytido.com
- analytiwave.com
- andoks.com.ph
- apneo.pl
- blazecut.com
- cestcomca.com
- consultagoya.com
- core.amoliera.com
- core.amoliera.info
- core.amoliera.org
- core.sopeited.com
- core.sopeited.info
- core.sopeited.org
- d-nodes.shop
- dvir.com
- elomaio.com
- fopelas.com
- goclouder.com
- gravitypowersolution.com
- iimbx.iimb.ac.in
- losangelescrc.usc.edu
- mycadc.org
- security.claufgaurd.com
- security.clodaflare.com
- security.clodufgard.com
- security.clodufshield.com
- security.clodujflare.com
- security.cloflguared.com
- security.cloofalerg.com
- security.closecufre.com
- security.cloudstwr.com
- security.clouodgrd.com
- security.cloydgvarde.com
- security.colkudflare.com
- security.flaiegaurd.com
- security.flargyard.com
- security.flclodshield.com
- security.flearegaurdc.com
- security.flflaegaurd.com
- security.secuclauf.com
- security.shieldclouds.com
- sharecloud.click
- sopeited.com
- sopeited.info
- sopeited.org
- squaresnacres.com
- stat.bundlehulu.com
- tsrc.org
- uplink-routes.asia
- widexp.com
- woodslabs.ca
- www.amoliera.com
- www.amoliera.info
- www.amoliera.org
- www.nivoletrevard.fr
- www.psych.bronxcare.us
- www.sopeited.com
- www.sopeited.info
- www.sopeited.org
- www.theventuradentist.com
- www.zennailbar.com
- zurirestaurant.com
URLs
- https://changeaie.top/geps
- https://jawdedmirror.run/ewqd
- https://liftally.top/xasj
- https://lonfgshadow.live/xawi
- https://nighetwhisper.top/lekd
- https://owlflright.digital/qopy
- https://salaccgfa.top/gsooz
- https://westrosei.live/agoz
- https://zestmodp.top/zeda
SHA256
- 1f3f3d940375fb237e3c9fd3e7534edb4a9232a8747d5da039f03558ccff8a43
- c078b10c298528c6a50a776519ef2be6819c43642aa82a88784d85e35d6b8298
- c83d1d9b7fc84bf5a5feb320795d4e82615f82ad1a1520148ba9169d13272a4c
