محققان امنیتی یک کمپین فیشینگ پیشرفته را شناسایی کردهاند که از سیستمی جعلی به نام «HuluCaptcha» برای تأیید کاربر استفاده میکند. این سیستم با ظاهر فریبنده CAPTCHA، در پسزمینه کدی مخرب را از طریق فرمان Run ویندوز اجرا میکند، بدون آنکه کاربر متوجه شود.
روش حمله
زنجیره حمله با ایمیلهای فیشینگ حاوی لینک به وبسایتهای جعلی آغاز میشود. این سایتها رابطهای گرافیکی CAPTCHA ارائه میدهند که شامل چالشهای تشخیص تصویر و تیک زدن چکباکس هستند. اما در پشت این واسط گرافیکی، جاوااسکریپتی پنهان شده که تعامل کاربر را ثبت و پردازش میکند.
هنگامی که کاربر اقدام به حل CAPTCHA میکند، ابزار HuluCaptcha به صورت پنهانی دستوراتی را از طریق پنجره Run ویندوز (کلیدهای Win+R) اجرا میکند. این دستورات معمولاً شامل اجرای PowerShell یا CMD برای ایجاد پایداری در سیستم و دانلود محتوای مخرب بیشتر است.
ویژگیهای فنی
-
استفاده از رمزنگاری چندلایه (Base64 و الگوریتمهای رمزنگاری سفارشی) برای جلوگیری از شناسایی توسط آنتیویروسها
-
استفاده از دستکاری DOM برای نمایش CAPTCHA واقعی و اجرای مخفیانه کدهای سیستمی
-
توانایی تشخیص محیطهای مجازی و ابزارهای تحلیل امنیتی و تغییر رفتار برای پنهانماندن از دید محققان
-
بهرهگیری از shell: protocol handler در ویندوز برای اجرای مستقیم دستورات از درون مرورگر
-
اجرای کدهای fileless که فقط در رجیستری یا حافظه قرار دارند و تشخیص آنها را بسیار دشوار میسازد
شبکههای توزیع
-
استفاده از سایتهای وردپرس هکشده برای میزبانی CAPTCHAهای جعلی
-
اهداف اصلی: مؤسسات مالی و محیطهای سازمانی با داراییهای اطلاعاتی ارزشمند
-
استفاده از امنیت عملیاتی پیشرفته شامل تغییر مداوم سرورهای C2 و استفاده از certificate pinning برای جلوگیری از شنود
-
استفاده از WMI و Scheduled Task برای پایداری در سیستم
-
معماری ماژولار: تزریق کیلاگر، هکر کلیپبورد، ابزارهای جاسوسی بر اساس محیط قربانی
راهکارهای دفاعی
-
نظارت پیشرفته بر PowerShell و WMI، بهخصوص اجرای آنها از طریق Run
-
اعمال سیاستهای اجازهنامه اجرای برنامهها (Application Allowlisting)
-
محدود کردن اجرای فایلها از دایرکتوریهای موقت که معمولاً برای اجرای اولیه بدافزار استفاده میشوند
-
آموزشهای دورهای به کاربران در مورد فیشینگهای مبتنی بر CAPTCHA
نشانگرهای نفوذ (IOC)
| نوع IOC | مقدار | توضیح |
|---|---|---|
| دامنه | captcha-verify-secure[.]com | دامنه اصلی توزیع |
| دامنه | security-captcha-cdn[.]net | میزبان محتوای مخرب |
| هش فایل | 7a4b0d6c5f3e2d1c0b9a8f7e6d5c4b3a | لودر جاوااسکریپت اصلی |
| هش فایل | 3e4f5d6c7b8a9d0e1f2c3b4a5d6e7f8c | Payload رمزنگاری شده PowerShell |
| رجیستری | HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SecurityVerifier | مکانیزم پایداری در سیستم |
| شبکه | ۱۹۲.۱۶۸.۲۳[.]۴۵:۸۰۸۰ | آدرس سرور کنترل و فرمان |
| پردازش | rundll32.exe با پارامترهای غیرعادی برای اجرای JavaScript | الگوی اجرای مشکوک |
| دستور | powershell.exe -enc [base64 string] | الگوی معمول اجرای مخفیانه |
یک نظر