Киберпреступники Lunar Spider расширяют атаки с помощью FakeCaptcha для распространения вредоносного ПО

Специалисты NVISO зафиксировали новую кампанию, которая активна как минимум с марта 2025 года. Атака начинается с того, что злоумышленники, используя неправильно настроенные политики CORS, получают доступ к веб-ресурсам, преимущественно созданным на WordPress. После этого в код страниц внедряется вредоносный JavaScript-сниппет, получивший название iFrameOverload. Его основная функция - динамическое создание элемента iframe, который перекрывает оригинальное содержимое сайта и загружает фейковую страницу проверки CAPTCHA.

Фреймворк FakeCaptcha, обозначенный исследователями как TeleCaptcha, обладает расширенными возможностями мониторинга жертв. При взаимодействии пользователя с чекбоксом «Я не робот» в буфер обмена автоматически копируется опасная команда. Она использует утилиту curl для загрузки и выполнения MSI-пакета через PowerShell. При этом команда маскируется под текст с идентификатором верификации, чтобы не вызывать подозрений. Одновременно с этим скрипт собирает информацию о системе пользователя: тип и версию браузера, операционную систему, количество кликов. Эти данные отправляются злоумышленникам через Telegram Bot API.

Для отслеживания посетителей используется функция генерации уникального имени пользователя, которое сохраняется в localStorage браузера. Это позволяет идентифицировать и различать жертв при повторных визитах. Особое внимание уделяется пользователям Windows: при определенных условиях (например, после второго клика или 20 секунд бездействия) в Telegram-канал отправляются специальные уведомления, побуждающие оператора проверить панель управления.

Выполнение скопированной команды запускает PowerShell-скрипт, который минимизирует все окна на рабочем столе и загружает MSI-пакет. Установка происходит в тихом режиме без взаимодействия с пользователем. MSI-файл, созданный с помощью AdvancedInstaller, выступает в роли дроппера. Он извлекает CAB-архив в папку C:\Users\<USER>\AppData\Roaming\intel\, содержащий три файла: легитимный подписанный исполняемый файл igfxSDK.exe от Intel, вредоносную библиотеку wtsapi32.dll (Latrodectus V2) и легитимную версию version.dll от Microsoft.

Для обеспечения устойчивости путь к igfxSDK.exe прописывается в ключ реестра \SOFTWARE\Microsoft\Windows\CurrentVersion\Run, что гарантирует его автозапуск при входе пользователя в систему. Далее используется техника подмены порядка поиска DLL (DLL Search Order Hijacking): легитимный исполняемый файл igfxSDK.exe вместо загрузки оригинальной библиотеки wtsapi32.dll из системной директории System32 загружает вредоносную версию из своей папки. Это позволяет скрыть активность Latrodectus под видом легального процесса Intel.

Финальная нагрузка, Latrodectus V2, представляет собой загрузчик категории Malware-as-a-Service (MaaS, вредоносное ПО как услуга). Его конфигурация, извлеченная с помощью CAPE Sandbox, содержит два адреса командного сервера (C2), криптографические ключи для шифрования трафика по алгоритму RC4, идентификатор кампании и аффилированную группу под названием Elara. Модуль способен выполнять широкий спектр команд для сбора системной информации: конфигурацию сети (ipconfig /all), данные о системе (systeminfo), доверительные отношения доменов (nltest /domain_trusts), перечень антивирусных продуктов через WMI, а также извлекать уникальные идентификаторы машины из реестра.

Анализ инфраструктуры показал, что для доставки TeleCaptcha использовались домены, размещенные на AWS и Cloudflare. Полезные нагрузки распространялись через домены на Cloudflare, а для командных серверов применялся хостинг Railnet LLC. Примечательно, что вредоносные библиотеки wtsapi32.dll были подписаны цифровыми сертификатами, выданными GlobalSign на имя различных компаний из Молдовы, Индии, Великобритании и Украины. Большинство этих сертификатов на момент публикации отозваны.

Эксперты отмечают, что фреймворк TeleCaptcha также использовался для доставки других угроз, таких как Lumma Stealer, что ставит вопрос об эксклюзивности его применения группой Lunar Spider. После ликвидации инфраструктуры IcedID в ходе операции Endgame в мае 2024 года, группа переключилась на развитие Latrodectus, который функционально продолжает линейку IcedID. Исторически Lunar Spider сотрудничает с операторами программ-вымогателей, такими как ALPHV/BlackCat, предоставляя им первоначальный доступ в корпоративные сети для последующего развертывания шифровальщиков.

Domains

• ai-helper.xyz
• aliondrifdions.com
• annadirovichblogs.com
• asioklaydpory.com
• asrofilogatertol.com
• awpdc.com
• bagonamaditrohds.com
• barometokliasss.com
• basofredyklsnf.com
• bibigigatrols.com
• bibikolatosderva.com
• boro.kylelaruffa.com
• ceydx.com
• daestfestifalkrlon.com
• daestfestifalkrlon43.com
• draklofsitewebsdrift.com
• dralbandrhifit.com
• dxbas.com
• eluzz.com
• eplfa.com
• fadiomasdpir.com
• fadoklismokley.com
• falkfx.com
• fasrikolsame.com
• firopirocloundare.com
• gasrobariokley.com
• geoternalkoddfiso.com
• gifrodasderty.com
• gorahripliys.com
• huazb.com
• humorgarigoru.com
• iondrivinos34.com
• irectashasdri.com
• janin.qiyueyoo.com
• jhitu.com
• juliavirafoklios.com
• keanex.com
• kflyghtovilodas.com
• kielx.com
• kikliloputocrowfly.com
• klonfcrtyseaflow.com
• krupj.com
• kusinurifasdirtoe.com
• laluzn.com
• larioiokolid.com
• lasoriodrens.com
• lilibuddafastserv.com
• llojikartid.com
• lod.atikemprime.com
• lolkasdokriosell.com
• lopikopiblogs.com
• masitreuik4.com
• mbkes.com
• mio.skyfytrade.com
• mnkcr.com
• mybbhc.com
• mywlfc.com
• naintn.com
• nfaofc.com
• ones.vendtech.biz
• po.parahybaminerals.com
• psmssl.com
• qoazo.com
• qrwestfiodterty.com
• quikstartmaindiloflare.com
• rofikrilkioda.com
• rolkdsgwasagt.com
• servamhifiport.com
• servilinisfadustrit.com
• sokia.org
• stakesol.pro
• tcjoky.com
• trolsfigabubu.com
• vatabimbibport.com
• vdddnc.com
• viropirostandap.com
• vsxxc.com
• vytokiurtye.com
• wlisd.com
• xfoucs.com
• yuikasdojhf.com

SHA256

• 09aa34b00deef4554536625647be80e28c629bfb605540188e9c29b45c7bf663
• 15650b50bf87d1df0503a0ead8222b831df1dccd31bbd6d35ede5d6f32ffff9f
• 1758a2bbebab26b9ae6bc9d15b0ed6c9e1859f9a617864cb5acc6fb8c77aaddb
• 18a3331da93c93948e8b53aaa85428464a484fc71d47b09dfb74cb315a8a87d0
• 1ce7b92b7746ef70ef164260e6d2e40e8022fbff4d868857622dec054f88191b
• 1ed00080c1fb5e56fb0ce5d2ddf1e11ab42a29c03279f6dbbe6da558c1441213
• 2469af010ded8487d0fa4013d1db762c475739b6984b7dc716c069969f8ec39e
• 24df8019c75e1dc7f731dcaf3458d96909571c29a79fd78326d324644ae8c743
• 26cff647bdb222a536b8f0dd31a3e1068455b49421df91d079a9c933afafb265
• 2c3624344070c78c0785b5e833c0d56a5cec3f5e58ce53b9c17018d9386b7f37
• 3085a20ca65d256fa4be7dfe1f9ff246742910b5a29768951af523886bdc65ed
• 30fedcda71caa98d7f64aed61c4d86157607be33aec40aebf12cf179f827016a
• 321d0ac7a683eb4c5a28d54f751f229c314280014985ce514fac3faca7d3829f
• 36066cc93e5aa0977439b6769705edc01967b174584cbb283e98dfef1582cc7e
• 382af3f71da0480e279fc7be35159aba4cd0ff303672ac9b506031d0d0825b36
• 392fca50afaf4a2d5246f865bd9be49722d257f60e08a70997ababaacccfb836
• 3af32eeede84d9ab70ce15ef51fa2bd7da42224537551410f565d1ec3b22b005
• 3e48db8ec93ac99c36d6d618df69863fdb8eb751d40b7266b0d38b87896f5472
• 41e0ce27c7b481da259e191930502005f75aa9ae1f0513b07cd81a479361fe9b
• 5ec37444f9ead97f89b74b0b0ee6707bd67a61cb1ad1aa7f5ba85613b722cf4a
• 5ef4165814a06f164cec6f6323d11bf62d7934a61c2b992fc47ca5319d3e9373
• 6147f86e79bdcbae37e724ada941c5129b8ef904fc9e3c498a3923c69937d99c
• 631f88a97cd1f096d9d923538e299b12e1f441895e31ada5b522e80c8da84777
• 63dedb2c4bb010f634907d375ba85f208fb1493261e7f42e0523d81697b430c1
• 64ae18ec4f59c9e562726ba542aadf00791c0e3b70e9a8ce368ce6cad32099d1
• 69fd1efbf2eddbe001f1f893bbf607b0002b8204928c04c126ce1b5f7bd0aa8f
• 71fc456191dac6467fcb416b485396ae8995861e13694e7f1d022ac9631a3b54
• 78e2cde1aa394ed90a172ac8adb3f0e8c6f0297607ad117977e3a4b112667ed3
• 7b40b2650636adbd94119dc131b42f9d74bcafd592ce8c6367a537438c2c4831
• 81e93f76a288100b1b27ff9d5b932406a44826a4495a8f033c9e598b16fbfb32
• 85ec3f2c2b15247fbcd4bb2c5a6029f9972f9f57481977750eba24d2974e4bac
• 87c787ea53a4dad92afd36c13a4fc5da7af1ea8dbe5634e4e3b011f289c9c91b
• 9294c715c94456ba7aa32c7374c05497df3bc8a209f5b9ec2c5d5d7f26ec0360
• 987bfdf18e0b3dac53bcc8cc906ef6c907c3e23d9ff23eb703e196782ae00b00
• 9e26fb13c47f6fad9530aa29eeaee6512fc734fe6a49e27058107d212a9cb9a2
• 9ef9a81d3004e7f569c2266321d335e85d44ba65d253496e3bdb4e94726f260c
• a9a62667713ff019f1c614f4cf7abecc8e6a70fc1a861088521da3fd3871abfe
• b7a76290c7d3af7b59e92da4f2bf278c9ba19b7dbeab33313d9f22888c94dc8d
• b97cd404ceab09bdd92003599566d946cead1d5d5dba528327821fe4f18108ec
• be5bcdfc0dbe204001b071e8270bd6856ce6841c43338d8db914e045147b0e77
• bff3c05d768803973fd44ad85b7cd765f369534510faa721b726c0f37441f5de
• c5357886504980d768f4a5b04e0c2c97b3df77087ae3be6bae82d75381331013
• c74390fc167ddd3532d9484db4ef66ff49ae8accce98c5eeec7261c174a032db
• ceb5d51cc87dfd661123bd9b3e79dd6e3ab403850f2776e04f46320fc481199e
• db3af674f9b85a916b48710c4b663b50ed324f67021fe3ca6ffee9a917c6f2bd
• dc25dd8cc1ce53da33777c82b6acfb820ede522e894093386349538e0b58d86c
• dea85c1e75be9db2c7c96007283389ddf28a21d79a05f3e6396a0c7f780b7b9f
• eaad24674576787f5839239e267654029de773d15de4ab99d49e06fc64fc9199
• ec29ce8537e112869dfccb8a57574ebd01eecd7ff5c9fff54fdc1b05ea8941b3
• ed9a9c8bd1f07e684d26f8c3d5c08a147c21bf04490941c28fe5ee4d3a1c9f1e
• f1b27d88bdb6b4d2019191b539f130edceb6b7ec16bd4131159256b4c872a8fd
• f55df05f07ac4c0be0bcfd0815df4643ffc8aa3592253dbdbf110df978653542
• f7dea7d5f87f19c73def52f3b40ca9f0c903a82d49fccb65d3acc1c4f12ad17c
• fa3b9f050519f8106a424f92aab6a7714fefe36ca3b859acb099ae1467d8c0ae