Експерти по сигурността предупреждават, че през последните няколко месеца е нараснал броят на новите варианти на атаки със социален инженеринг, при които се използват фалшиви страници CAPTCHA за заблуда на жертвите.

Неотдавнашен анализ на киберспециалистите от Reliaquest разкри, че престъпниците използват фалшиви CAPTCHA страници, които имитират надеждни услуги като Google и Cloudflare, за да подмамят потребителите да стартират злонамерени скриптове на машините си.

Въпреки че кампанията е била забелязана за първи път през септември, Reliaquest отбеляза, че от октомври до началото на декември 2024 г. нейните клиенти са наблюдавали почти двойно по-голям брой фалшиви CAPTCHA страници в сравнение с нивата, наблюдавани през септември.

Фирмата предполага, че това вероятно е резултат от споделянето от страна на  заплахите на шаблоните за фалшивите уебстраници на други киберпрестъпници.

„Този скок вероятно е резултат от това, че изследователите са публикували шаблоните, използвани за тези кампании, което неволно е предоставило на повече заплахи инструменти за лесно възпроизвеждане на тези тактики.“

В доклада се отбелязва, че сложни групи за заплахи като APT28 (Fancy Bear), която е свързана с руската армия, използват тази техника, като се цитира разследване на националния екип за киберзащита на Украйна относно използването на фалшиви CAPTCHA страници от APT28.

„Неотдавнашно разследване на украинския екип за реагиране при компютърни инциденти (CERT-UA) разкри, че APT28 е използвала фалшиви CAPTCHA системи, за да проникне в местните власти“, добави Reliaquest.

„Имитирайки интерфейси на reCAPTCHA, те са подвеждали потребителите да изпълняват команди, които изтеглят вредни скриптове. Тези скриптове са способни да създават Secure Shell (SSH) тунели и да ексфилтрират данни, което подчертава простотата и силата на атаката.“

Еволюцията на фалшивите CAPTCHA атаки представлява значителен риск

Reliaquest описва веригата на атаката, използвана при тези атаки, като „измамно проста“, при която посетителите на компрометирани уебсайтове се пренасочват към страница с фалшива CAPTCHA.

Но вместо обичайното „щракнете върху изображенията на кръстовища“ или повторно въвеждане на замаскирана поредица от букви, потребителят е подканен да отвори Run prompt и да вмъкне команда, която тайно е копирана в клипборда му при посещението на сайта.

Тази злонамерена команда води до инсталиране на зловреден софтуер, обикновено крадец на удостоверения, като Lumma Stealer.

Изследователите в областта на сигурността са нарекли този подход, при който жертвите сами изпълняват злонамерените команди, „Scam-Yourself“ атаки.

Доставчикът на услуги за сигурност Gen Digital заяви, че към края на 2024 г. е регистрирал значително увеличение на този тип атаки, като през третото тримесечие на 2024 г. е отчетен скок от 614% спрямо предходното тримесечие, като заключи, че „тактиките на социалното инженерство, психологическата манипулация продължават да бъдат един от най-опасните инструменти в арсенала на киберпрестъпниците“.

В доклада се допълва, че през същия период е защитила над 2 милиона потребители от фалшивия CAPTCHA вариант на тези атаки от типа „измами се сам“.

Reliaquest предупреди, че хакерите ще продължат да усъвършенстват техниките за атаки с фалшиви CAPTCHA, което ще ги направи по-трудни за атаки с фалшиви CAPTCHA, което ще ги направи по-трудни за откриване. Фирмата също така прогнозира, че добавянето на алтернативни методи за изпълнение ще представлява „значителен риск“ за организациите в близко бъдеще.

„В рамките на следващите три месеца очакваме подобрения във вектора на заразяване с фалшиви CAPTCHA, като например използване на алтернативни методи за изпълнение, които не използват команди PowerShell“, обясни тя.

„Това може да включва използването на други LOLBins като forfiles.exe или certutil.exe за изтегляне на началния етап, с цел заобикаляне на съществуващите мерки за откриване.“