Otkriven napad koji se skriva iza CAPTCHA provjere
Slovenski CERT među onima je koji su upozorili svoje građane na novi oblik kibernetičkih napada, u kojima se koristi CAPTCHA provjera kako bi se korisnika nagnalo na instaliranje zloćudnog programa
Internetom su se u drugoj polovici prošle godine počeli širiti kibernetički napadi nove vrste, a početkom ove su godine sve češći – objavio je to slovenski CERT, pojašnjavajući o kakvim se točno napadima radi. Prema njihovim podacima, napadači preuzimaju kontrolu nad internetskim stranicama koje koriste poznatu provjeru "ljudskosti" CAPTCHA, kako bi osigurali stranice od botova. U tim provjerama od posjetitelja se traži da klikne na kućicu i tako potvrdi da nije robot, da bi u slučaju kompromitiranih stranica u tom trenutku nastupio drugi, maliciozni korak.
Upute za "uradi sam" instaliranje trojanca
Posjetitelja se obavještava da provjera nije bila uspješna, kao razlog se navodi "mrežna greška", spominje se "nestabilan DNS", a potom ga se u crveno istaknutom prozoru upućuje na tri koraka, koji se mogu pokazati vrlo skupima. Kompromitirana CAPTCHA, naime, instruira posjetitelja stranice da stisne nekoliko kombinacija tipki zaredom: Win+R, CTRL+V, pa potom Enter.
U slučaju da korisnik to učini, dogodit će se sljedeće. Tipkovnička kratica Win+R otvorit će "Run" prozor, tj. naredbeni redak u Windowsima za pokretanje aplikacije. Potom će u njegov prozor naredba CTRL+V zalijepiti sadržaj međuspremnika (u koji je internetska stranica prethodno stavila željenu naredbu), a potom će potvrda tipkom Enter poslati naredbu na izvršenje. Rezultat toga bit će pokretanje PowerShell skripte, koja će na računalo naseliti izvršnu datoteku HijackLoader, a ona će potom instalirati trojanca soja Lumma Stealer.
Korisnik će se tako izložiti krađi osjetljivih osobnih podatka s računala, kao što su lozinke, kriptoključevi, ali i svega što mu se može naći unutar internetskog preglednika, poput povijesti surfanja, internetskih kolačića i tome slično. Lumma Stealer će, kažu, svoj zadatak odraditi prilično brzo, pokrasti podatke u samo nekoliko sekundi te se potom može u potpunosti izbrisati s računala.
Oporavak od takvog napada dug je i kompliciran, uključuje promjene svih ukradenih lozinki, a moguće je i da rezultira materijalnim gubicima, primjerice "čišćenjem" računa s kriptovalutama. Stoga SI-CERT savjetuje svima da ne nasjedaju na lažne poruke o pogreškama kod CAPTCHA provjere, naiđu li na njih.
