- Автор темы
- #1
Исследователь заметил, что злоумышленники используют фейковую captcha, чтобы заставить пользователей обойти предупреждения браузеров и загрузить банковский троян Gozi (он же Ursnif).
Проблему обнаружил ИБ-исследователь MalwareHunterTeam, который поделился своими выводами с журналистами Bleeping Computer. Все началось с того, что эксперт нашел в сети подозрительный URL-адрес, где при попытке просмотреть встроенное YouTube-видео о женской тюрьме в Нью-Джерси загружался файл console-play.exe, а сайт отображал на экране фейковую версию reCaptcha.
Так как файл является исполняемым, Google Chrome автоматически предупреждает, что файл может быть вредоносным, и спрашивает, хочет ли пользователь «Сохранить» его или «Отменить» загрузку. Чтобы обойти это предупреждение, злоумышленники показывают жертве поддельную reCAPTCHA, где пользователя просят нажать на клавиатуре клавиши «B», «S», «Tab», «A», «F» и «Enter», как показано на скриншоте ниже.
Если при нажатии клавиш «B», «S», «A» и «F» ничего не происходит, то нажатие «Tab» переместит фокус на кнопку «Сохранить», а затем нажатие клавиши «Enter» сработает как клик по этой кнопке, заставляя браузер загрузить и сохранить файл на компьютер. Более того, видео в итоге начнет воспроизводиться автоматически, то есть пользователь решит, что успешно ввел captcha.
Если жертва запустит упомянутый исполняемый файл, тот создаст папку в %AppData%\Bouncy for .NET Helper и установит в нее множество файлов. Все эти файлы — фальшивка, за исключением исполняемого файла BouncyDotNet.exe.
BouncyDotNet.exe будет читать различные строки из реестра Windows, используемые для запуска команд PowerShell. Эти команды в итоге скомпилируют приложение .NET с помощью встроенного компилятора CSC.exe, который запустит DLL банковского трояна Ursnif. После запуска банкир похитит учетные данные жертвы, загрузит на компьютер дополнительную малварь и выполнит любые команды, переданные ему удаленными злоумышленниками.
Проблему обнаружил ИБ-исследователь MalwareHunterTeam, который поделился своими выводами с журналистами Bleeping Computer. Все началось с того, что эксперт нашел в сети подозрительный URL-адрес, где при попытке просмотреть встроенное YouTube-видео о женской тюрьме в Нью-Джерси загружался файл console-play.exe, а сайт отображал на экране фейковую версию reCaptcha.
Так как файл является исполняемым, Google Chrome автоматически предупреждает, что файл может быть вредоносным, и спрашивает, хочет ли пользователь «Сохранить» его или «Отменить» загрузку. Чтобы обойти это предупреждение, злоумышленники показывают жертве поддельную reCAPTCHA, где пользователя просят нажать на клавиатуре клавиши «B», «S», «Tab», «A», «F» и «Enter», как показано на скриншоте ниже.
Если при нажатии клавиш «B», «S», «A» и «F» ничего не происходит, то нажатие «Tab» переместит фокус на кнопку «Сохранить», а затем нажатие клавиши «Enter» сработает как клик по этой кнопке, заставляя браузер загрузить и сохранить файл на компьютер. Более того, видео в итоге начнет воспроизводиться автоматически, то есть пользователь решит, что успешно ввел captcha.
Если жертва запустит упомянутый исполняемый файл, тот создаст папку в %AppData%\Bouncy for .NET Helper и установит в нее множество файлов. Все эти файлы — фальшивка, за исключением исполняемого файла BouncyDotNet.exe.
BouncyDotNet.exe будет читать различные строки из реестра Windows, используемые для запуска команд PowerShell. Эти команды в итоге скомпилируют приложение .NET с помощью встроенного компилятора CSC.exe, который запустит DLL банковского трояна Ursnif. После запуска банкир похитит учетные данные жертвы, загрузит на компьютер дополнительную малварь и выполнит любые команды, переданные ему удаленными злоумышленниками.