Фальшивые капчи распространяют вредоносное ПО, и винить мы должны только себя

Новый отчет HP Threat Insights Report выявил новые кампании распространения вредоносных программ. Жертвы теряют свои данные из-за удаленного доступа к трояну.

Заметили, что злоумышленники используют поддельные страницы проверки CAPTCHA. Новое исследование утверждает, что жертвы все чаще заражают себя вредоносным ПО из-за всплеска поддельных проверок CAPTCHA - злоупотребляя растущей «толерантностью к кликам», поскольку пользователи привыкли к тому, чтобы проходить проверку подлинности в Интернете.

Это не первый отчет, который выявил эту атаку; исследователи безопасности выявили распространение вредоносного ПО-похитителя информации с помощью поддельных страниц CAPTCHA в конце 2024 года, но последний отчет HP Threat Insights Report теперь предупреждает о росте этой практики. Пользователей обычно направляли на веб-сайты, контролируемые злоумышленниками, а затем заставляли выполнять убедительные, но поддельные проверки подлинности.

Более того, были выявлены дополнительные кампании. Эти ложные CAPTCHA обычно заставляют пользователей запускать вредоносные команды PowerShell на своих устройствах, которые устанавливают троян Lumma Stealer для удаленного доступа - популярный похититель информации, способный похитить широкий спектр конфиденциальной информации, такой как данные браузера, учетные данные электронной почты, данные клиентов и даже криптовалютные кошельки.

Распространение поддельных CAPTCHA не было единственной выявленной угрозой; злоумышленники также могли получать доступ к веб-камерам и микрофонам конечных пользователей в тревожных атаках, распространяемых посредством атак по социальной инженерии, в основном с использованием RAT с открытым исходным кодом (Remote Access Trojan) и XenoRat для управления устройствами, похищения данных и регистрации нажатий клавиш.

Кроме того, злоумышленники наблюдали за доставкой вредоносного кода JavaScript «внутри изображений Scalable Vector Graphic (SVG) для уклонения от обнаружения». Эти изображения открываются «по умолчанию» в браузерах, и исполняемый встроенный код «предоставляет резервные возможности и возможности монетизации для злоумышленника» благодаря инструментам удаленного доступа.

«Общая черта этих кампаний - использование маскировки и методов антианализа для замедления расследований», - сказал Патрик Шлепфер (Patrick Schläpfer), ведущий исследователь угроз в HP Security Lab. «Даже простые, но эффективные методы уклонения от защиты могут задерживать обнаружение и реагирование команд служб безопасности, что затрудняет сдерживание вторжения. Используя такие методы, как прямые системные вызовы, злоумышленники затрудняют для средств безопасности обнаружение вредоносной активности, давая им больше времени для незамеченной работы - и компрометации конечных точек жертв».