Fałszywe strony CAPTCHA są wykorzystywane do kradzieży danych
Spreparowane strony CAPTCHA to popularna metoda cyberprzestępców, która prowadzi do infekowania komputerów złośliwym oprogramowaniem służącym do kradzieży wrażliwych danych z komputera ofiary. Jak przebiega taki atak i przede wszystkim, jak się przed nim uchronić?
Eksperci z Guardio Labs odkryli, że cyberprzestępcy wykorzystują kampanię reklamową o nazwie „DeceptionAds”, aby dotrzeć do milionów internautów. Atak opiera się na wykorzystaniu dwóch legalnych narzędzi – platformy reklamowej Monetag oraz usługi BeMob, służącej do śledzenia wydajności reklam. Fałszywe reklamy są projektowane tak, by odpowiadały zainteresowaniom użytkowników, zachęcając ich do kliknięcia. Wśród najczęstszych tematów pojawiają się obietnice darmowego oprogramowania, pirackiego streamingu czy promocji na popularne usługi.
Po kliknięciu na reklamę ofiara jest przekierowywana na stronę z fałszywym CAPTCHA. Przestępcy sprytnie ukrywają swoje działania, korzystając z reputacji platformy BeMob, co znacznie utrudnia moderację treści na Monetag.
Jak działa fałszywe CAPTCHA?
Fałszywa strona CAPTCHA wygląda wiarygodnie, jednak w jej kodzie ukryty jest złośliwy skrypt JavaScript. Skrypt ten automatycznie kopiuje do schowka komendę PowerShell, która jest głównym elementem ataku. Użytkownik, próbując rozwiązać CAPTCHA, zostaje poinstruowany, by wkleić skopiowany kod do wiersza poleceń i uruchomić go, rzekomo jako część procedury weryfikacyjnej.
Uruchomienie tej komendy prowadzi do pobrania i zainstalowania złośliwego oprogramowania Lumma Stealer na komputerze ofiary. Ten zaawansowany infostealer pozwala atakującym na dostęp do wrażliwych danych.
Czym jest Lumma Stealer?
Lumma Stealer to jedno z najczęściej wykorzystywanych narzędzi w świecie cyberprzestępczym. Oprogramowanie to jest zaprojektowane tak, by pozyskiwać wrażliwe informacje, między innymi dane logowania, informacje finansowe czy dane związane z kryptowalutami. Przechwycone informacje mogą zostać wykorzystane do kradzieży tożsamości, przejęcia kont lub innych przestępstw.
Po ujawnieniu kampanii „DeceptionAds” obie zaangażowane platformy podjęły natychmiastowe działania. Monetag usunął setki podejrzanych kont, a BeMob zakończył kampanię w ciągu zaledwie kilku dni. Dzięki szybkiej reakcji możliwe było ograniczenie zasięgu ataku, jednak eksperci ostrzegają, że podobne oszustwa nadal będą pojawiać się w przyszłości.
Aby zabezpieczyć się przed tego rodzaju atakami, należy przede wszystkim zachować ostrożność w sieci. Nie klikajmy w reklamy obiecujące niezwykłe zyski lub inne zaskakujące benefity i przede wszystkim pod żadnym pozorem nie uruchamiajmy na swoim komputerze nieznanych komend.
