Хакеры стали внедрять фейковые страницы CAPTCHA для распространения вирусов для Windows

Новая кампания социальной инженерии использует поддельные страницы проверки CAPTCHA, чтобы обманом заставить пользователей Windows запустить вредоносную программу-инфостилер StealC, выяснили исследователи компании LevelBlue.

Атака основана на взломе веб-сайтов, которые отображают убедительные проверки безопасности в стиле Cloudflare, побуждая жертв вручную выполнять вредоносные команды PowerShell под видом обычной проверки.

«StealC передаёт на сервер управления и контроля (C2) учётные данные браузера, криптовалютные кошельки, учётные записи Steam, учётные данные Outlook, системную информацию и скриншоты, используя зашифрованный HTTP-трафик RC4», — заявили исследователи.

StealC собирает учётные данные браузера, данные для входа в электронную почту, криптовалютных кошельков и системную информацию, что позволяет захватывать учётные записи, совершать мошенничество и перемещаться между серверами. Эти риски усугубляются многоступенчатой ​​цепочкой заражения, в основном в оперативной памяти, что затрудняет обнаружение и анализ.

Атака начинается, когда пользователь посещает легитимный веб-сайт, который был скомпрометирован злоумышленниками. Встроенный в сайт вредоносный JavaScript загружает поддельную страницу CAPTCHA, которая очень похожа на интерфейс проверки Cloudflare. Вместо визуального запроса страница предлагает пользователю нажать клавиши Windows + R, затем Ctrl + V и, наконец, Enter, утверждая, что эти шаги необходимы для завершения процесса проверки. Этот подход известен как ClickFix.

В итоге вредоносная команда PowerShell помещается в буфер обмена и выполняется при вставке в диалоговое окно «Выполнить». Это позволяет злоумышленнику выполнить код без запуска запросов на загрузку в браузере или предупреждений безопасности.

По