This post is also available in:
English (אנגלית)
חוקרים ב-Qualys חשפו לאחרונה קמפיין זדוני מתוחכם שמנצל מנגנוני אימות של CAPTCHA כדי להוריד תוכנות זדוניות. בהתקפה זו, פושעי הסייבר דוחקים במשתמשים "לאשר שאתה לא רובוט" באמצעות תהליך מטעה שמוביל בסופו של דבר לביצוע פקודות זדוניות במערכות שלהם.
השיטה כוללת ניתוב מחדש של משתמשים תמימים לאתרי CAPTCHA מזויפים, לעתים קרובות על ידי ניצול פרצות בתוכנות לגיטימיות או ביישומים ציבוריים. ברגע שמשתמשים לוחצים על כפתור "אני לא רובוט", מוצגים בפניהם שלבי אימות בלתי מזיקים לכאורה. עם זאת, מדובר בתחבולה חכמה: הוא מעתיק באופן אוטומטי סקריפט זדוני ללוח של המשתמש ומבקש ממנו להדביק אותו בחלון נוסף. מה שנראה כמו הליך אימות פשוט הוא למעשה שרשרת שמפעילה פקודה של PowerShell, המאפשרת להוריד את ה-Lumma infostealer.
גישה ייחודית זו הופכת את האיום למאיים במיוחד, שכן הוא יכול לפעול בחשאי ובהתמדה על מערכות שנפרצו. ה-Lumma Infostealer יעיל מאוד באיסוף נתונים רגישים, כולל סיסמאות, ארנקי קריפטו ומידע סודי אחר. היא מכוונת באופן ספציפי לקבצים עם שמות המצביעים על נתונים יקרי ערך, כגון אלה המכילים מילות מפתח כמו seed.txt, pass.txt, ו-wallet.txt, אשר קשורים לעתים קרובות עם קריפטו וניהול סיסמאות.
כדי לטשטש את הכוונה הזדונית שלה, הרוגלה משתמשת בקידוד Base64 עבור הסקריפטים שלה, מה שמסבך את מאמצי הזיהוי. יתר על כן, התוקפים משתמשים בכלים מהימנים של Windows כמו mshta.exe כדי להוריד את הקובץ הזדוני, מה שמקשה על מערכות האבטחה לזהות את האיום. ה-Lumma Infostealer ידוע לשמצה כ-Malware as a Service, לעתים קרובות תוך התאמת שיטות ההורדה שלו. תקיפות עבר כללו שימוש בהודעות שגיאה מזויפות וחשבונות שנפרצו.
Qualys קורא לארגונים ויחידים להשתמש בכלי גילוי ותגובה חזקים על נקודות קצה כדי לנטרל התקפות מתוחכמות אלה. בהתחשב בכך שהתוכנה הזדונית ושרתי השליטה והבקרה שלה מתארחים לעתים קרובות ברשתות אספקת תוכן לגיטימיות (CDN), כגון Cloudflare, הקרקע לאיומי סייבר יכולה רק להמשיך להתפתח. ככל שהתוקפים נעשים מתוחכמים יותר ויותר, ערנות מוגברת ואמצעי אבטחה מתקדמים חיוניים לשמירה על נתונים רגישים מפני איומים מתפתחים אלה.
