Sofisticirani novi vektor napada malicioznog softvera koji manipuliše korisnicima putem lažnih upita za verifikaciju u pretraživaču, dizajniranih da imitiraju legitimne CAPTCHA sisteme.
Ovaj napad koristi tehnike socijalnog inženjeringa u kombinaciji s manipulacijom međuskladišta i obfuskiranim PowerShell naredbama kako bi prevario žrtve da dobrovoljno izvršavaju maliciozni kod na svojim sistemima.
Kampanja predstavlja značajnu evoluciju u metodama distribucije malicioznog softvera, jer iskorišćava povjerenje korisnika u poznate sigurnosne interfejse, a zaobilazi tradicionalne mehanizme detekcije antivirusnog programa oslanjajući se na legitimne sistemske alate i interakciju korisnika.
Kako funkcioniše obmanjujuća verifikacija pretraživača
Prema riječima Alexandera Zammita, napad počinje kada korisnici naiđu na ono što izgleda kao standardna sigurnosna provjera pretraživača, zajedno s poznatim interfejsom “Nisam robot” koji podsjeća na Google-ov reCAPTCHA sistem.
Međutim, umjesto klikanja na kućice ili identifikovanja slika, lažni upit za verifikaciju upućuje korisnike da izvrše niz prečica na tastaturi kako bi “dovršili provjeru pretraživača”.
Maliciozi interfejs prikazuje tri naizgled bezopasna koraka: pritisak tipke Windows + R za otvaranje dijaloga Pokreni, pritisak tipke Ctrl + V za lijepljenje sadržaja međuskladišta i pritisak tipke Enter za izvršenje naredbe.
Ovaj pristup socijalnog inženjeringa je posebno efikasan jer oponaša legitimne sigurnosne procese s kojima se korisnici redovno susreću na internetu.
Napadači su pažljivo dizajnirali interfejs da izgleda autentično, koristeći slične vizuelne elemente i jezik koji se nalazi u originalnim sigurnosnim provjerama pretraživača.
Upute su predstavljene kao neophodni koraci za „osiguravanje optimalnog iskustva“, što proces čini rutinskim, a ne sumnjivim.
Ova psihološka manipulacija iskorištava uslovljene reakcije korisnika na sigurnosne upute i njihovu opštu spremnost da se pridržavaju percipiranih sigurnosnih zahtjeva.
Tehnička analiza otkriva da srž ovog napada leži u sofisticiranoj upotrebi manipulacije međuskladištem i tehnika zamagljivanja PowerShella.
Kada korisnici posjete malicioznu stranicu, JavaScript kod automatski kopira jako zamagljenu PowerShell naredbu u njihovo međuskladište bez njihovog znanja.
PowerShell korisni teret koristi više slojeva maskiranja, uključujući base64 kodiranje, spajanje stringova i zamjenu varijabli kako bi se izbjegli alati za statičku analizu i antivirusni potpisi.
Obfusirana naredba obično sadrži upute za preuzimanje i izvršavanje dodatnih malicioznih sadržaja s udaljenih servera .
Sigurnosni analitičari su primijetili varijacije koje uključuju tehnike napada bez datoteka, gdje maliciozni softver u potpunosti funkcioniše u memoriji bez zapisivanja datoteka na disk, što otkrivanje čini znatno težim.
Izvršavanje PowerShella također koristi legitimne Windows procese i servise, omogućavajući malicioznim softveru da se besprijekorno uklopi u normalne sistemske operacije, a istovremeno održava mehanizme perzistencije putem modifikacija registra ili planiranih zadataka.
Strategije zaštite
Organizacije i pojedinačni korisnici mogu implementirati nekoliko odbrambenih mjera protiv ovog vektora napada.
Sigurnosne postavke pretraživača trebale bi biti konfigurisane tako da spriječe automatski pristup međuskladištu, a korisnike treba edukovati o legitimnom izgledu stvarnih CAPTCHA sistema u odnosu na ove obmanjujuće upite.
Obuka o sigurnosti treba naglasiti da legitimna verifikacija pretraživača nikada ne zahtijeva od korisnika da izvršavaju naredbe putem dijaloga “Pokreni” u sistemu Windows ili komandne linije.
Rješenja za detekciju i odgovor na krajnje tačke (EDR) trebaju biti konfigurisana za praćenje neobičnih obrazaca izvršavanja PowerShella, posebno onih koji uključuju mrežne veze ili modifikacije sistema.
Uređaji za mrežnu sigurnost mogu se programirati da detektuju karakteristične obrasce prometa povezane s ovim napadima, uključujući početnu isporuku korisnog tereta i naknadnu komunikaciju komandi i kontrole.
Osim toga, implementacija politika stavljanja aplikacija na bijelu listu i izvršavanja PowerShella može značajno smanjiti površinu napada sprječavanjem neovlaštenog izvršavanja skripti.
Izvor: CyberSecurityNews
