Перехват ввода в графический интерфейсе - это техника, с помощью которой злоумышленники имитируют подсказки операционной системы, чтобы обманом заставить пользователей предоставить учетные данные. Эти поддельные подсказки очень похожи на легитимные, например, для установки программного обеспечения или повышения привилегий. Атакующие часто используют такие инструменты, как PowerShell, AppleScript или сценарии Unix Shell для создания убедительных интерфейсов. Они также могут копировать запросы аутентификации из браузеров или почтовых клиентов, чтобы казаться более надежными.
Перехват ввода: Перехват ввода в графический интерфейсе
Злоумышленники используют перехват GUI Input Capture, имитируя обычные компоненты операционной системы, чтобы обманом заставить пользователей предоставить учетные данные. Например, когда для выполнения законных задач требуются повышенные привилегии, операционные системы обычно запрашивают у пользователей аутентификацию. Злоумышленники копируют эту функциональность, создавая поддельные подсказки, которые выглядят как настоящие, например поддельные программы установки, запрашивающие дополнительный доступ, или мошеннические инструменты для удаления вредоносного ПО. Такие запросы могут быть созданы с помощью скриптовых языков, таких как PowerShell, AppleScript или сценарии Unix Shell. В Linux атакующие могут использовать вредоносные сценарии оболочки или инструменты командной строки для запуска диалоговых окон для сбора учетных данных.
Кроме того, злоумышленники могут имитировать запросы на аутентификацию от браузеров или почтовых клиентов. Комбинируя эти поддельные запросы с мониторингом активности пользователей, они могут стратегически точно подстроить время поддельных запросов во время выполнения важных операций, что повышает их успешность в краже учетных данных.
Существует множество доказательств использования перехвата GUI-ввода в реальных условиях. В кампании DeceptionAds, выявленной в 2024 году, злоумышленники использовали сложную технику захвата графического интерфейса для распространения вредоносной программы Lumma Stealer [3]. Они использовали рекламную сеть Monetag для размещения всплывающей рекламы на многочисленных веб-сайтах, в частности, для пользователей пиратских платформ потокового вещания и программного обеспечения. Эти объявления перенаправляли пользователей на обманчивые страницы проверки CAPTCHA, которые выглядели легитимными, но были предназначены для обмана. При посещении этих страниц фрагмент JavaScript скрытно копировал вредоносную команду PowerShell в буфер обмена пользователя. Затем страница предлагала пользователям вставить эту команду в системный диалог «Выполнить», чтобы убедиться, что они не боты.
Выполнение команды запускало загрузку и установку вредоносной программы Lumma Stealer, компрометируя систему пользователя.
Другой пример - методика MacStealer, в которой злоумышленники используют osascript для поточного выполнения кода AppleScript. При этом создается обманчиво простое, но убедительное диалоговое окно. Например, атакующий может выполнить следующую команду:
| 1 | osascript -e 'display dialog "MacOS wants to access the System Preferences." with title "System Preferences" with icon caution default answer "" with hidden answer' |
Включение скрытого текстового поля ввода еще больше усиливает иллюзию обычной меры безопасности, тонко подталкивая пользователя к вводу своих учетных данных.