Пользователей подводит доверие к инструментам проверки на роботность и возможность браузеров на движке Chromium вставлять любые данные в буфер обмена пользователя.
Эксперты из Malwarebytes нашли новую мошенническую схему с использованием CAPTCHA. Злоумышленники размещают на сайте фальшивую форму проверки на роботность для доставки вредоносного ПО Lumma Stealer или SecTopRAT на устройства пользователей.
Как происходит заражение
На фишинговые сайты жертв заманивают самым популярным и трафиковым контентом: фильмами, музыкой, картинками, новостями. Как только пользователь переходит на сайт, на экране появляется всплывающее окно с капчей.
Однако, после того, как пользователь ставит галочку, вместо привычных задач по разгадыванию пазлов, выбору изображений или распознаванию текста, предлагается выполнить ряд более нестандартных и странных действий на своем компьютере:
- нажать комбинацию клавиш Windows + R (вызов командной строки),
- вставить код подтверждения с помощью Ctrl + V,
- нажать Enter.
На самом деле с помощью этих действий, JavaScript и возможностей Chromium злоумышленники вставляют в буфер обмена пользователя вредоносный код. Браузер считает, что ранее поставленная галочка «Я не робот» дает разрешение на такую операцию.
Как только жертва следует инструкциям и открывает окно Windows + R («Выполнить»), а затем вставляет скопированное содержимое, запускается команда mshta.
Mshta — это команда, которая запускает легитимный исполняемый файл Windows mshta.exe, однако на самом деле она загружает вредоносный медиафайл с удаленного сервера и запускает его.
Мошенники маскируют такие файлы под .mp3, .mp4, .jpg, swf и другие форматы, но на самом деле содержат закодированную команду PowerShell, которая незаметно извлекает и запускает вредоноса: Lumma Stealer или SecTopRAT. Обе программы предназначены для кражи конфиденциальных данных с пользовательского устройства.
По сути, пользователи, сами того не ведая, собственными руками заражают своё устройство вредоносом.
Что делать
Капча — это полезный инструмент для защиты сайтов от ботов и спама, который обеспечивает безопасность как ресурсов, так и пользователей. Однако, как мы видим, мошенники нашли способ дискредитировать такой инструмент кибербезопасности.
На самом деле, формат reCaptcha v2, когда нужно ставить галочку «Я не робот», считается устаревшим. Специалисты предлагают другие версии и форматы проверки пользователей на роботность.
В этой статье мы привели 14 альтернатив устаревшей капче, которые можно использовать на своем сайте.
Для максимальной защиты подключите на сайт современную Умную капчу >>>
Как защитить своё устройство от заражения
Чтобы пользователю защитить своё устройство от подобной атаки, важно следовать этим правилам:
- На текущий момент ни одна настоящая капча не предлагает выполнение подобных действий на своем устройстве. Задача капчи — запретить боту доступ к сайту. Для этого требуется выполнить достаточно простые действия: только поставить галочку, провести слайдер слева направо, решить простое уравнение, найти картинку и т. д.
- Установите на устройство антивирус с расширенными возможностями проверки сайтов и ссылок в интернете.
- Отключите JavaScript в браузере перед посещением неизвестных сайтов.
Будьте осторожны в сети и не позволяйте кибермошенникам вас обмануть.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
