Злоумышленники эксплуатируют доверие пользователей: как работает схема с вредоносным скриптом "Докажи, что ты человек"

Атака начинается с фишинговых сайтов, имитирующих популярные сервисы. Например, пользователю предлагают подтвердить свою человечность, нажав на фальшивую галочку CAPTCHA. После этого в буфер обмена автоматически копируется вредоносный PowerShell-скрипт, который жертве предлагается вставить в командную строку Windows (Win+R). Запуск этого скрипта инициирует цепочку загрузок: сначала скачивается второй этап вредоносного кода, затем третий, и в итоге на компьютер устанавливается NetSupport RAT.

Особенность этой схемы - многоступенчатость. Каждый новый скрипт загружается с разных доменов, что усложняет обнаружение антивирусами. Кроме того, злоумышленники используют легитимные сервисы, такие как GitHub и Discord, для хранения промежуточных вредоносных файлов. Например, в одном из случаев скрипт обращался к GitHub для загрузки файла "wbdims.exe", который затем прописывался в автозагрузку Windows.

Анализ инфраструктуры показал, что злоумышленники активно используют домены, зарегистрированные через Cloudflare, NameCheap и NameSilo, а также применяют методы обфускации, такие как ROT13-кодирование, чтобы скрыть вредоносный код от систем защиты.

Эксперты DomainTools отмечают, что подобные атаки становятся все более изощренными и требуют от пользователей повышенной бдительности. Чтобы избежать заражения, рекомендуется не копировать и не запускать подозрительные скрипты, даже если они предлагаются на, казалось бы, доверенных сайтах. Также важно использовать актуальные антивирусные решения и двухфакторную аутентификацию для защиты учетных записей.

IPv4

• 170.130.55.203
• 185.209.21.241
• 194.26.232.180
• 212.86.115.52
• 91.211.249.44
• 95.215.204.156

Domains

• 0xpaste.com
• aitradingview.app
• aitradingview.dev
• batalia-dansului.xyz
• battalia-dansului.com
• betamodetradingview.dev
• betatradingview.app
• betatradingview.dev
• charts-beta.dev
• codepaste.io
• dans-lupta.xyz
• dev-beta.com
• devbetabeta.dev
• devchart.ai
• developer-ai.dev
• developerbeta.dev
• developer-beta.dev
• developer-mode.dev
• developer-package.dev
• developer-update.dev
• devmodebeta.dev
• devmode-beta.dev
• devtradingview.ai
• devtradingview.net
• dev-update.dev
• docusign.sa.com
• docusign.za.com
• docusimg.sa.com
• docusingl.sa.com
• docusingle.sa.com
• gitcodes.app
• gitcodes.io
• gitcodes.net
• gitcodes.org
• gitpaste.com
• givcodes.com
• hubofnotion.com
• jeffsorsonblog.dev
• loyalcompany.net
• mhousecreative.com
• modedev.ai
• modedeveloper.ai
• modedeveloper.com
• modedevs.ai
• nsocks.net
• oktacheck.it.com
• pasteco.com
• pastefy.com
• pastefy.net
• pastefy.pro
• tradingviewai.dev
• tradingview-ai.dev
• tradingviewbeta.dev
• tradingview-beta.dev
• tradingviewdev.com
• tradingviewindicator.dev
• tradingviewtool.com
• tradingviewtoolz.com
• tradingviewtradingview.dev
• updatebeta.app

SHA256

• 07576e1db7e7bd0f7d2c54b6749fdd73c72dba8c2ba8ab110b305cfc10c93c80
• 1a128f6748d71d02c72ba51268be181143405830a4e48dfa53bf3d6ed3391211
• 431b0b19239fc5e0eeaee70cd6e807868142e8cd0b2b6b1bd4a7a2cc8eb57d15
• 58874c0dc26a78cdc058f84af9967f31b3c43173edc7515fa400e6ef8386205f
• 80b274871e5024dfa9e513219fe3df82cc8fe4255010bd5d04d23d5833962c10
• 89043d2817d1bb4cb57ed939823dca0af9ae412655a6c75c694cb13d088efe5a
• 8ffacc942d1c3f45e797369a1f4cbd5dcd84372abf979b06220236d5a5cea649
• ab8fdde9fb9b88c400c737d460dcbf559648dc2768981bdd68f55e1f98292c2a
• b258de3b7ef42b4f4bfb0fb5ffe7c55df6aef01cc591abe34a70d1ff82130cd5
• b2daa2b5afb389828e088ec8b27c0636bdad94b2ef71dcf8034ee601cb60d8d6
• b3e879b5952988fb0c656240365db8f01198f9d83cd2a3ec0e2a8ee172e20a11
• c6907acabf2edf0be959c64a434e101963f7c18dcf79f116e0ce6b5ced5dd08c
• d7fadf7ef45c475bd9a759a771d99ccf95edfa8a0c101ce2439a07b66c2e5c72
• e9fe19455642673b14c77d18a1e7ed925f23906bf11237dfafd7fb2cba1f666d
• f9a241a768397efb4b43924fbd32186fcb1c88716fff3085d3ddcdd322d3404f