Хакеры используют поддельные всплывающие окна reCAPTCHA для установки вредоносного ПО и кражи криптовалюты

Группа по кибербезопасности eSentire раскрыла использование поддельных всплывающих окон в стиле CAPTCHA, с помощью которых жертвыdentзаставляют себя развернуть вредоносное ПО для сбора учетных данных Amatera Stealer и NETSupport RAT, используя метод, известный как ClickFix.

Подразделение реагирования на угрозы (TRU) компании eSentire tracэскалацию кампаний, использующих ClickFix для получения первоначального доступа к целевым системам в ноябре. По данным TRU, злоумышленники используют этот метод, чтобы с помощью социальной инженерии заставить жертв вручную запускать вредоносные команды через командную строку Windows. 

После выполнения эти команды запускают цепочку заражения, которая завершается развертыванием Amatera Stealer и NetSupport RAT — легитимных инструментов удаленного мониторинга, которые киберпреступники использовали для несанкционированного удаленного доступа.

Кампания ClickFix использует reCAPTCHA для внедрения вредоносного ПО

Согласно исследованию eSentire, опубликованному в прошлый четверг, хакеры заманивают жертв, используя поддельные веб-сайты и всплывающие окна, которые выглядят как «проверки безопасности», включая мошеннические поля для проверки reCAPTCHA и поддельные страницы Cloudflare Turnstile. 

Обманные интерфейсы предлагают пользователям «исправить» предполагаемую проблему, заставляя их выполнять вредоносные команды, не осознавая рисков. После выполнения первой команды сначала устанавливается Amatera Stealer, а затем NetSupport Manager, который позволяет хакерам отслеживать и контролировать скомпрометированную машину, как будто они находятся рядом.

Amatera Stealer — это не совсем новая угроза, а новейшая версия ACR Stealer, также известного как AcridRain. Предыдущая версия впервые появилась в виде вредоносного ПО как услуги на хакерских форумах в 2024 году, и несколько пользователей развернули её по подписке.

Продажи ACR были приостановлены в середине 2024 года, когда разработчик, известный в интернете как SheldIO, продал исходный код вредоносной программы. Несмотря на объявление о продаже, группа заявила, что это «не конец» её разработки. Теперь исследователи считают, что Amatera — прямой преемник ACR, обновлённый с расширенными возможностями и новыми методами обхода блокировок.

Amatera, обнаруженная аудиторской фирмой Proofpoint в июне, доступна по подписке стоимостью от 199 долларов в месяц до 1499 долларов в год.

«Amatera предоставляет злоумышленникам широкие возможности по эксфильтрации данных, нацеленные на криптокошельки, браузеры, мессенджеры, FTP-клиенты и почтовые сервисы. Amatera использует продвинутые стратегии обхода, такие как WoW64 SysCalls, для обхода механизмов перехвата пользовательского режима, используемых «песочницами», антивирусными решениями и продуктами EDR», — заявили в eSentire.

Вредоносное ПО написано на языке C++ и способно собирать сохраненные пароли, данные карт, историю посещенных страниц и файлы из таких браузеров, как Chrome, Brave, Edge, Opera, Firefox, а также специализированных платформ, таких как Tor Browser и Thunderbird. 

Многоступенчатые загрузчики Windows PowerShell, скрывающие вредоносное ПО

По данным анализа угроз eSentire, процесс заражения Amatera построен на нескольких уровнях запутанных команд PowerShell. 

Исследователи TRU наблюдали, как одна из фаз расшифровывала последующие полезные данные с помощью операции XOR над строкой «AMSI_RESULT_NOT_DETECTED» — термином, связанным с интерфейсом сканирования Microsoft Anti-Malware Scan Interface. Разработчик загрузчика мог намеренно выбрать эту фразу, чтобы запутать исследователей, проводящих динамический анализ.

Хотя Amatera является наиболее распространённой полезной нагрузкой, используемой в этих кампаниях, eSentire также задокументировала случаи использования того же загрузчика для развертывания других инфокрадов, включая Lumma и Vidar. В некоторых образцах отсутствовали параметры конфигурации, необходимые для запуска многоступенчатых загрузчиков, поэтому хакеры предпочитали напрямую развертывать NetSupport Manager.

eSentire и другие компании, занимающиеся безопасностью, задокументировали кампании по электронной почте, в ходе которых файлы сценариев Visual Basic Script распространялись под видом счетов-фактур. При открытии файлы запускали пакетные скрипты, которые запускали загрузчики PowerShell, доставляющие XWorm.

Другие кампании включали в себя скомпрометированные веб-сайты, перенаправлявшие посетителей на поддельные страницы верификации Cloudflare, имитирующие запросы ClickFix. Эта активность была связана с операцией, известной под такими названиями, как SmartApeSG, HANEYMANEY и ZPHP, все из которых имели NetSupport RAT в качестве конечной полезной нагрузки.

Хакеры создали мошеннические веб-сайты Booking.com, на которых размещались поддельные проверки CAPTCHA, предлагающие пользователям открыть диалоговое окно «Выполнить» Windows и выполнить команду, а также напрямую устанавливающие скрипт для кражиdentданных на зараженные системы.

Некоторые фишинговые кампании, связанные с этими вредоносными рассылками, используют новый набор фишинговых программ, известный как Cephas. Cephas, по данным компании Barracuda, занимающейся решениями в области кибербезопасности, использует продвинутый метод обфускации, вставляя невидимые символы в исходный код фишинговых страниц, которые трудно обнаружить автоматическим сканерам.

«Этот набор инструментов маскирует свой код, создавая случайные невидимые символы в исходном коде, что помогает ему обходить антивирусные сканеры и препятствует сопоставлению правил YARA, основанных на сигнатурах, с точными методами фишинга», — написала в своем анализе на прошлой неделе.