انتشار شده در تاریخ 1403/08/10 - 10:12

گسترش کارزار بدافزاری استفاده از کپچاهای جعلی

پژوهشگران یک کارزار جدید شناسایی کرده‌اند که از طریق کپچا جعلی بدافزار توزیع می‌کند. کپچا همان آزمونی است که معمولاً برای تشخیص انسان از ربات در وب‌سایت‌ها استفاده می‌شود.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، مهاجمان از تمایل کاربران به سریع کلیک کردن روی ابزارهای تأیید سوءاستفاده می‌کنند.

به گفته پژوهشگران شرکت امنیت سایبری کسپرسکی، این نمونه جدید کاربران را از طریق تبلیغات آنلاین، سایت‌های بزرگسالان، خدمات اشتراک فایل، پلتفرم‌های شرط‌بندی، سایت‌های انیمه و اپلیکیشن‌های وب که از ترافیک کسب درآمد می‌کنند، هدف قرار می‌دهد.

گزارش‌های قبلی نسخه‌ای اولیه از این عملیات را شناسایی کرده بودند که بیشتر گیمرها را از طریق وب‌سایت‌هایی که بازی‌های کرک شده ارائه می‌دهند، با بدافزارهای سرقت اطلاعات هدف قرار می‌داد.

طبق گزارش کسپرسکی، این کارزار از اواسط سپتامبر تا اکتبر فعال بوده و احتمالاً با هدف دسترسی به تعداد بیشتری از قربانیان، نشان از گسترش شبکه توزیع مهاجمان دارد.

برای آلوده کردن کاربران به بدافزارهایی به نام لوما (Lumma) و آمادی (Amadey)، هکرها قربانیان را به یک کپچا (CAPTCHA) جعلی هدایت می‌کنند.

با کلیک روی دکمه "من ربات نیستم"، کد مخرب به کلیپ‌بورد کاربر منتقل می‌شود و با انجام مراحل به ظاهر عادی تأیید، این کد اجرا می‌شود.

در برخی حملات، اسکریپت مخرب یک فایل آرشیو حاوی لوما را دانلود و اجرا می‌کند.

این بدافزار از مدل بدافزار به‌عنوان-خدمت (MaaS) بهره می‌گیرد و از دست‌کم اوت ۲۰۲۲ در فروم‌های روسی زبان فعال بوده است.

بدافزار لوما پس از نصب، به جستجوی فایل‌های مرتبط با کیف‌پول‌های رمزارزی پرداخته و آن‌ها را سرقت می‌کند.

مهاجمان همچنین به دنبال استخراج کوکی‌ها و سایر اطلاعات ذخیره‌شده در مرورگرها، از جمله داده‌های مدیریت رمزعبور، هستند.

پس از سرقت داده‌های ارزشمند، بدافزار از صفحات فروشگاه‌های آنلاین بازدید می‌کند.

پژوهشگران اعلام کردند که احتمالاً هدف از این کار، تولید درآمد بیشتر برای اپراتورها از طریق افزایش بازدید این سایت‌ها، مشابه با عملکرد بدافزارهای تبلیغاتی است.

طبق گزارش کسپرسکی، اگرچه لوما قبلاً در حملات کپچا جعلی استفاده شده بود، اما آمادی افزونه جدیدی به این روش‌هاست.

آمادی یک بات‌نت است که نخستین بار در سال ۲۰۱۸ معرفی شد و اکنون با قیمت حدود ۵۰۰ دلار در فروم‌های روسی زبان به فروش می‌رسد.

آمادی چندین ماژول برای سرقت اطلاعات از مرورگرهای محبوب دانلود می‌کند، آدرس‌های کیف‌پول رمزارزی در کلیپ‌بورد را شناسایی و با آدرس‌های تحت کنترل مهاجمان جایگزین می‌کند.

یکی از ماژول‌ها قابلیت گرفتن اسکرین‌شات دارد و در برخی موارد، ابزار دسترسی از راه دور رمکوس (Remcos) را روی دستگاه قربانی دانلود می‌کند و به مهاجمان کنترل کامل می‌دهد.

هنوز تأثیر این کارزار کپچا جعلی یا گروه‌های هکری مسئول آن به‌طور دقیق مشخص نشده است، اما طبق گزارش کسپرسکی، کاربران کشورهای برزیل، اسپانیا، ایتالیا و روسیه از جمله بیشترین قربانیان بوده‌اند.