В мире киберпреступности появилась новая угроза, демонстрирующая, насколько изощренными стали методы злоумышленников. Исследователи кибербезопасности обнаружили кампанию, в которой мошенники используют поддельные экраны проверки Cloudflare, чтобы обмануть пользователей и заставить их запустить вредоносный код. Этот метод социальной инженерии не только демонстрирует высокий уровень технической подготовки злоумышленников, но и напоминает о необходимости всегда оставаться бдительными при взаимодействии с веб-страницами, даже если они выглядят легитимно.
Описание
Атака начинается с того, что пользователь попадает на фальшивую веб-страницу, имитирующую проверку безопасности Cloudflare. Чаще всего такие страницы распространяются через фишинговые ссылки или взломанные сайты. Когда пользователь нажимает кнопку «Проверить», страница незаметно копирует в буфер обмена PowerShell-код, параллельно фиксируя IP-адрес жертвы для дальнейшей разведки. Затем мошенники просят пользователя выполнить дополнительную проверку, предлагая открыть системное окно «Выполнить» (Win + R). Как только пользователь открывает его, страница отправляет уведомление на сервер злоумышленников, подтверждая успешность атаки. При этом сайт также отслеживает нажатия клавиш, увеличивая масштаб утечки данных.
После того как пользователь вставляет содержимое буфера обмена в окно «Выполнить», запускается вредоносный PowerShell-код. Он получает дополнительную команду в формате Base64 с удаленного сервиса, похожего на Pastebin, после чего декодирует и исполняет ее. Эта команда загружает BAT-файл с другого вредоносного домена, который уже содержит сложные механизмы защиты от анализа. Например, скрипт проверяет, запущен ли он в виртуальной среде (что может означать попытку исследования вредоносного кода), и в таком случае прекращает работу. Однако на обычных компьютерах он продолжает выполнение, устанавливая дополнительное вредоносное ПО.
Особую тревогу вызывает тот факт, что на момент обнаружения этот BAT-файл не детектировался ни одним антивирусом на VirusTotal, что делает его крайне опасным. Это подчеркивает не только новизну данной атаки, но и ее эффективность в обход традиционных средств защиты.
Главная опасность заключается в том, что злоумышленники используют доверие пользователей к стандартным мерам безопасности, таким как проверка CAPTCHA. Поддельная страница выглядит убедительно, что снижает уровень подозрительности жертвы. Эксперты рекомендуют всегда проверять URL веб-страниц перед вводом каких-либо данных и быть особенно осторожными при получении неожиданных запросов на верификацию.
Для борьбы с такими атаками исследователи уже опубликовали специальные запросы, позволяющие выявлять поддельные сайты с CAPTCHA. Организациям и частным пользователям настоятельно рекомендуется внедрять многоуровневую защиту, включающую не только антивирусные решения, но и обучение сотрудников основам кибергигиены.
Эта кампания - еще одно напоминание о том, что киберпреступники постоянно совершенствуют свои методы, комбинируя технические уловки с психологическим манипулированием. Только комплексный подход к безопасности, включающий регулярное обновление ПО, использование надежных решений для защиты конечных точек и осведомленность пользователей, поможет минимизировать риски подобных атак.
Индикаторы компрометации
Domains
- axiomsniper.info
- dex-redirect.com
- pastesio.com
