Эксперты обнаружили новую волну кибератак с использованием фальшивых тестов CAPTCHA
«Лаборатория Касперского» обнаружила новую волну атак с помощью фальшивых «капчей» - тестов, позволяющих отличить человека от бота, а также сообщений об ошибке в браузере, стилизованных под Google Chrome
Эти атаки связаны с активностью ClickFix, в рамках которой пользователей убеждают вручную выполнить PowerShell-код и установить малварь.
Обычно атака начинается с того, что пользователь кликает на полупрозрачный рекламный баннер на сайте, незаметно растянутый на весь экран.
В большинстве случаев конечной точкой такого перенаправления оказываются рекламные сайты, продвигающие антивирусные продукты, блокировщики рекламы и так далее. Но в некоторых случаях жертва попадает на страницу с вредоносной CAPTCHA.
В отличие от настоящей, эта CAPTCHA служит для продвижения сомнительных ресурсов. Как и на предыдущем этапе атаки, здесь жертва не всегда сталкивается с малварью. Например, CAPTCHA может предложить посетителю отсканировать QR-код, ведущий на сайт букмекерской конторы.
Но в других случаях пользователя просят выполнить несколько шагов, якобы направленных на проверку защиты от роботов или устранение проблем в работе браузера.
Если пользователь действительно выполнит предложенные злоумышленниками действия, в сущности, он вручную выполнит PowerShell-код, и в результате на его машину будет загружен стилер, то есть вредоносное ПО для кражи данных.
Так, строка, которую предлагается скопировать и выполнить в консоли, содержит зашифрованную методом base64 PowerShell-команду, которая обращается к URL-адресу и выполняет содержимое страницы. Внутри находится обфусцированный PowerShell-скрипт, который в итоге скачивает вредоносную нагрузку.
Сообщается, что больше всего таких атак обнаружено в России, Бразилии, Испании и Италии.
Присвоив данные пользователя, зловред также начинает активно «посещать» различные рекламные адреса: вероятно, таким образом злоумышленники получают дополнительную прибыль, накручивая просмотры с заражённого устройства подобно рекламному ПО.
«Покупка рекламных мест под баннеры, которые ведут пользователей на вредоносные страницы, — распространённый метод среди злоумышленников. Однако в этой кампании они существенно расширили свой охват, размещая вредоносную рекламу на сайтах разной тематики, а также использовали новый сценарий с фальшивыми ошибками в браузерах. Это ещё раз напоминает о том, что злоумышленники не стоят на месте, и постоянно совершенствуют свои методы. Чтобы не попасться на их уловки, компаниям и пользователям рекомендуется критически относиться к любой подозрительной информации, которую они видят в сети», — комментирует Василий Колесников, эксперт по кибербезопасности «Лаборатории Касперского».
Подробнее о ClickFix атаках:
https://blog.sekoia.io/clickfix-tactic-the-phantom-meet/
https://securelist.ru/fake-captcha-delivers-lumma-amadey/110867/
https://xakep.ru/2024/10/22/clickfix/
