攻击者越来越多地通过一种相当不寻常的方法分发恶意软件:将虚假 CAPTCHA 作为初始感染媒介。来自各家公司的研究人员在 8 月和 9 月报告了这项活动。攻击者主要针对游戏玩家,最初通过托管破解游戏的网站将 Lumma 窃取程序提供给受害者。
我们最近对广告软件领域的研究表明,这种恶意 CAPTCHA 正在通过与游戏无关的各种在线资源传播:成人网站、文件共享服务、博彩平台、动漫资源和通过流量获利的 Web 应用程序。这表明分销网络正在扩展,以覆盖更广泛的受害者群体。此外,我们发现 CAPTCHA 不仅提供 Lumma,还提供 Amadey 木马。
广告网络中的恶意 CAPTCHA
为避免中当受骗,了解他们及其分销网络的运作方式非常重要。推送带有恶意 CAPTCHA 的页面的广告网络还包括合法、非恶意的优惠。其功能如下:使用广告模块点击页面上的任意位置会将用户重定向到其他资源。大多数重定向会导致网站宣传安全软件、广告拦截器等——广告软件的标准做法。但是,在某些情况下,受害者会登陆包含恶意 CAPTCHA 的页面。
将用户重定向到 CAPTCHA 的网站示例
与旨在保护网站免受机器人攻击的正版 CAPTCHA 不同,这种模仿用于推广可疑资源。与上一阶段一样,受害者并不总是遇到恶意软件。例如,其中一个页面上的 CAPTCHA 提示访问者扫描指向博彩网站的 QR 码:
带二维码的 CAPTCHA
木马通过带有说明的 CAPTCHA 进行分发。单击“我不是机器人”按钮powershell.exe -eC bQBzAGgAdABhA<...>MAIgA= 行复制到剪贴板并显示所谓的“验证步骤”:
• 按 Win + R(这将打开“运行”对话框);
• 按 CTRL + V (这会将剪贴板中的行粘贴到文本字段中);
• 按 Enter 键(这将执行代码)。
带说明的 CAPTCHA
我们还遇到了 CAPTCHA 以外的格式的类似说明。例如,下面的屏幕截图显示了页面加载失败的错误消息,其样式类似于 Chrome 消息。攻击者将问题归因于“浏览器更新错误”,并指示用户单击“复制修复”按钮。尽管页面设计不同,但感染场景与 CAPTCHA 方案相同。
虚假更新错误消息
剪贴板中的行包含一个 Base64 编码的 PowerShell 命令,该命令访问在此处指定的 URL 并执行页面的内容。此内容中包含一个经过混淆处理的 PowerShell 脚本,该脚本最终会下载恶意负载。
有效载荷:Lumma 窃取程序
最初,恶意 PowerShell 脚本使用 Lumma 窃取程序下载并执行了一个存档。在下面的屏幕截图中,窃取程序文件名为 0Setup.exe:
恶意存档的内容
启动后,0Setup.exe 运行合法的 BitLockerToGo.exe 实用程序,该实用程序通常负责使用 BitLocker 加密和查看可移动驱动器的内容。此实用程序允许查看、复制和写入文件,以及修改注册表分支——窃取者利用的功能。
借助 BitLocker To Go,攻击者可以操纵注册表,主要是为了创建特洛伊木马运行所需的分支和密钥:
完成后,Lumma 再次使用该实用程序,在受害者的设备上搜索与各种加密货币钱包相关的文件并窃取它们:
然后,攻击者查看与钱包和加密货币相关的浏览器扩展并从中窃取数据:
在此之后,该木马会尝试窃取存储在各种浏览器中的 cookie 和其他凭据:
最后,恶意软件会搜索密码管理器档案以窃取其内容:
在整个数据收集过程中,木马会尝试使用相同的 BitLocker To Go 将被盗数据发送到攻击者的服务器:
一旦恶意软件找到并泄露了所有有价值的数据,它就会开始访问各种在线商店的页面。这里的目的是通过增加这些网站的浏览量(类似于广告软件)为其运营商创造更多收入:
有效载荷:Amadey 木马
我们最近发现,同样的活动现在也在传播 Amadey 木马。自 2018 年以来,Amadey 一直是众多安全报告的主题。简而言之,该木马会下载多个模块,用于从流行的浏览器和各种虚拟网络计算 (VNC) 系统中窃取凭据。它还检测剪贴板中的加密钱包地址,并将其替换为攻击者控制的地址。其中一个模块也可以截取屏幕截图。在某些情况下,Amadey 将 Remcos 远程访问工具下载到受害者的设备,让攻击者可以完全访问它。
此活动中使用的 Amadey 代码片段
统计学
从 2024 年 9 月 22 日到 10 月 14 日,超过 140,000 名用户遇到了广告脚本。卡巴斯基的遥测数据显示,在这 140,000 名用户中,超过 20,000 名用户被重定向到受感染的网站,其中一些人在那里看到了虚假的更新通知或虚假的 CAPTCHA。巴西、西班牙、意大利和俄罗斯的用户受影响最为频繁。
结论
Conclusion
网络犯罪分子经常渗透到对所有人开放的广告网络中。他们购买广告位,将用户重定向到恶意资源,采用各种技巧来实现感染。上述活动很有趣,因为 (a) 它利用对 CAPTCHA 的信任来让用户执行不安全的操作,并且 (b) 其中一个窃取者利用合法的 BitLocker To Go 实用程序。该恶意软件通过窃取受害者的凭据和加密钱包,以及利用为其网站流量付费的在线商店来丰富其运营商。
感染指标
e3274bc41f121b918ebb66e2f0cbfe29
525abe8da7ca32f163d93268c509a4c5
ee2ff2c8f49ca29fe18e8d18b76d4108
824581f9f267165b7561388925f69d3av
原文始发于微信公众号(卡巴斯基网络安全大百科):Lumma/Amadey:假验证码想知道你是不是人类
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论