Un atac de spearphishing care a durat o singură zi a vizat membri ai administrației regionale ucrainene și organizații critice pentru efortul de ajutor în război din Ucraina, inclusiv Comitetul Internațional al Crucii Roșii, UNICEF și diverse ONG-uri.
Denumit PhantomCaptcha, campania de o zi a încercat să păcălească victimele să ruleze comenzi folosite în atacuri ClickFix, mascate sub forma unor prompturi de verificare CAPTCHA Cloudflare, pentru a instala un Trojan de Acces Remote WebSocket (RAT).
SentinelLABS, divizia de cercetare a amenințărilor de la SentinelOne, afirmă că campania a început și s-a încheiat pe 8 octombrie, iar atacatorul a petrecut timp și efort considerabil pentru a configura infrastructura necesară, deoarece unele domenii folosite în operație au fost înregistrate la sfârșitul lunii martie.
Atacurile au început cu e-mailuri ce impersonau Biroul Președintelui Ucrainei, purtând atașamente PDF malitioase care duceau către un domeniu ce făcea uzurpării platformei de comunicare Zoom (zoomconference[.]app).
Când se făcea clic pe link-ul fals de conferință Zoom, vizitatorii vedeau un proces automatizat de verificare a browserului înainte de a fi redirecționați către platforma de comunicare.
În timpul acestei etape, un identificator de client era generat și transmis serverului atacatorului printr-o conexiune WebSocket.
„Dacă serverul WebSocket răspundea cu un identificator corespunzător, browserul victimei era redirecționat către o întâlnire Zoom legitimă, protejată cu parolă”, a arătat analiza SentinelLABS.
Potrivit cercetătorilor, acest traseu probabil a condus la implicarea actorului de amenințare în apeluri de inginerie socială live cu victima.
Dacă ID-ul clientului nu se potrivea, vizitatorii trebuiau să treacă printr-o altă verificare de securitate și să demonstreze că sunt oameni reali și nu roboți.
Aceștia puteau finaliza verificarea falsă CAPTCHA urmând instrucțiunile în limba ucraineană care îi îndemnau să apese un buton pentru a copia un „token” și să-l lipească în Promptul de Comandă Windows.
Acțiunea de copiere/lipire rula o comandă PowerShell care descărca și executa un script malițios (cptch) pentru livrarea încărcăturii de etapă a doua, un utilitar de recunoaștere și profilare a sistemului.
Instrumentul colectează date de sistem precum numele computerului, informații despre domeniu, numele de utilizator, ID-ul procesului și UUID-ul sistemului și le trimite la serverul de comandă și control (C2).
Încărcătura finală este un RAT WebSocket ușor capabil de executare de comenzi la distanță și exfiltrare de date prin comenzi JSON codificate în base64.
Cercetătorii au descoperit că campania de scurtă durată era legată de o operațiune ulterioară care viza utilizatorii din Lviv, Ucraina, cu APK-uri Android cu tematică pentru adulți sau instrumente de stocare în cloud.
Aceste aplicații acționează ca spyware, monitorizând locația în timp real a victimei, jurnalele de apeluri, lista de contacte și imagini, exfiltrându-le către atacatori.
Deși SentinelLABS nu a făcut nicio atribuire pentru atacurile ClickFix „I am not a robot”, cercetătorii notează că RAT-ul WebSocket era găzduit pe infrastructura rusă, iar campania cu tematică pentru adulți ar putea fi legată de dezvoltarea surselor din Rusia/Belarus.
În plus, un raport al Grupului de Informații despre Amenințări Google (GTIG) de ieri descrie un „I am not a robot” captcha challenge malițios folosit în atacuri atribuite ColdRiver (cunoscut și sub numele de Star Blizzard, UNC4057, Callisto), un grup de amenințări atribuit serviciului de informații rus (FSB).
GTIG a subliniat că hackerii au fost rapizi în operaționalizarea de noi familii de malware după ce cercetătorii au făcut publice uneltele mai vechi pe care ColdRiver le-a implementat în activități de cyberspionaj.
46% dintre mediile de lucru au avut parole sparte, aproape dublându-se față de 25% anul trecut.
Obțineți acum Raportul Picus Blue 2025 pentru o privire cuprinzătoare asupra mai multor constatări privind tendințele în prevenire, detectare și exfiltrare de date.
Videoclipurile TikTok continuă să promoveze infostealer-e în atacuri ClickFix
Malware-ul Android folosește VNC pentru a oferi atacatorilor acces direct
De la ClickFix la MetaStealer: Disecarea Tehnicilor în Evoluție ale Actorilor de Amenințare
Anunțurile Google pentru site-urile false Homebrew, LogMeIn promovează infostealer-e
Sabotaj major: Pachetul npm celebru șterge fișiere pentru a protesta împotriva războiului din Ucraina
Leave a Reply