Мошенничество с поддельной Captcha: Как хакеры обманывают пользователей, заставляя их скачивать вредоносное ПО

ClickFix Captcha представляет себя как безобидный тест на верификацию, однако киберпреступники используют эту тактику для распространения вредоносного программного обеспечения среди ничего не подозревающих пользователей.

Метод распространения вредоносного ПО был связан с доставкой вымогательского ПО и распространением трояна-вымогателя QakBot, а также с программами-ворами информации. С момента его первоначального обнаружения в 2008 году, исследователи утверждают, что QakBot превратился в сложное вредоносное ПО.

Исследователи в области безопасности из команды DarkAtlas Research Squad обнаружили новую атаку, которая обманывала пользователей, заставляя их думать, что они выполняют стандартную работу с captcha. Без своего ведома пользователи выполняли команды на своих собственных компьютерах.

Captcha под названием ClickFix инструктировала пользователей активировать сочетание клавиш Windows Key + R, что автоматически запускало предварительно загруженную команду, сохраненную в их буфере обмена. Команда в секрете загружала зашифрованный файл с удаленного сервера, одновременно выполняя злонамеренный код, не вызывая при этом никаких подозрений.

DarkAtlas также раскрыл, что вредоносное ПО использовало дешифровку XOR для скрытия своих реальных намерений, что делало его обнаружение особенно сложным. Атакующие создали поддельные домены для размещения ZIP-файлов, содержащих вредоносные нагрузки.

После загрузки эти файлы извлекали и выполняли вредоносные скрипты, предназначенные для кражи конфиденциальной информации или развертывания вымогательского ПО. Тревожно то, что хакеры могли генерировать неограниченное количество уникальных URL-адресов для распространения своего вредоносного ПО, что делало практически невозможным эффективное добавление их в черный список системами безопасности.

Эта атака соответствует отчету за 3-й квартал 2024 года от Gen, который показывает значительное увеличение «Атак-Сам-на-Себя», вводящих пользователей в заблуждение и заставляющих их устанавливать вредоносное ПО. Атакующие используют мошенничество ClickFix вместе с поддельными запросами CAPTCHA и обманными инструкциями, чтобы получить контроль.

Согласно отчету, AI и технология deepfake сделали мошенничество более сложным для обнаружения. Пользователи могут оставаться защищенными от развивающихся угроз с помощью Norton Genie.

Исследователи рекомендуют пользователям оставаться бдительными и избегать выполнения неожиданных команд от неизвестных веб-сайтов.