Darkblue Intelligence Suite/ làm nổi bật giao dịch fentanyl


ngày 11 tháng 3 năm 2025

clickfix captcha lừa đảo: Kỹ thuật lừa đảo hiệu quả cao đến với một trang web tối gần bạn

Một vectơ tấn công mở thành công nguy hiểm liên quan đến việc lừa kênh kèo nhà cái dùng tải xuống phần mềm độc hại để hoàn thành captchas được dự đoán sẽ sớm chuyển sang Dark Web. Sự phát triển này nhấn mạnh sự cần thiết phải có trí thông minh mối đe dọa web tối và giám sát web tối nguồn mở để theo dõi các xu hướng tấn công mới nổi.

Tìm kiếm để đi trước các mối đe dọa web tối? Nhận mới nhất trong Dark Web News, Osint Tools và hơn thế nữa khi bạnĐăng kýđến Bản tin Darkblue.

Captchas đang bị chiếm đoạt, và nó rất thuyết phục

Bất cứ ai trên Internet sẽ quen thuộc vớiCaptchas(viết tắt của bài kiểm tra Turing công khai hoàn toàn tự động để phân biệt máy tính và con kênh kèo nhà cái). Họ là những câu đố nhỏ mà bạn thường phải giải quyết để có quyền truy cập vào một trang web hoặc gửi biểu mẫu, thường liên quan đến việc gõ các chữ cái và số từ hình ảnh để chứng minh bạn là con kênh kèo nhà cái. Được thiết kế để loại bỏ bot, captchas đã trở nên phổ biến trên web mở và hầu hết chúng ta có thể không nghĩ hai lần về việc hoàn thành chúng. Tuy nhiên, các diễn viên đe dọa đã tìm ra cách chiếm quyền điều khiển hệ thống captcha bằng cách thay thế các trang captcha bằng các bản sao độc hại.

nổi lên vào năm 2024, những kênh kèo nhà cái nàyclickfixCác cuộc tấn công được thực hiện bởi các tác nhân đe dọa đăng nhập vào các trang web có thông tin đăng nhập và cài đặt các plugin hiển thị thông báo giả cho kênh kèo nhà cái dùng. Một bản cập nhật cần thiết để hoàn thành CAPTCHA, chẳng hạn như tải xuống một phông chữ bổ sung.

Điều tồi tệ hơn, bởi vì kênh kèo nhà cái dùng đang tích cực tham gia vào việc cài đặt, phần mềm độc hại sẽ trở nên dễ dàng hơn nhiều để bỏ qua các tính năng bảo mật trình duyệt web, chẳng hạn như duyệt Google Safe. Phần mềm độc hại được cài đặt thường là loại tồi tệ nhất: Trojans cho phép truy cập hoàn toàn từ xa vào thiết bị và kênh kèo nhà cái vô tư như Vidar Stealer, Darkgate và Lumma Stealer.

Biến thể trên kỹ thuật clickfix

One of the most insidious aspects of the ClickFix scam is that it can easily be recycled and modified to fit trends of the moment, making the social engineering aspect highly effective.

Kênh Telegram Ross Ulbricht giả

Trong một gần đâyVí dụ, Các diễn viên đe dọa trên X đã khai thác tin tức bùng nổ xung quanh sự tha thứ bất ngờ của kênh kèo nhà cái sáng lập Silk Road, Ross Ulbricht. Trong phiên bản này, một tài khoản Ross Ulbricht X giả mạo nhưng được xác minh đã hướng dẫn kênh kèo nhà cái dùng tham gia vào một kênh Telegram được cho là do Ulbricht điều hành. Tuy nhiên, trước khi tham gia, kênh kèo nhà cái dùng đã phải hoàn thành một loạt lời nhắc để xác minh trên mạng đã lừa họ chạy mã PowerShell đã lây nhiễm các thiết bị của họ với phần mềm độc hại.

Screenshot of a recreation of X users discussion Ross Ulbricht attack vector, as captured in DarkBlue

Hình 1: Ảnh chụp màn hình của một giải trí của kênh kèo nhà cái dùng X Thảo luận về vector tấn công Ross Ulbricht, như được chụp trong DarkBlue

Cách thức hoạt động

  • Phương pháp tấn công:kênh kèo nhà cái dùng được dẫn đến một kênh Telegram thông qua các tài khoản Ross Ulbricht giả nhưng được xác minh trên X. Một khi trên Telegram, họ được đáp ứng với yêu cầu xác minh nhận dạng có tên là "An toàn", hướng dẫn họ qua quy trình xác minh giả. Cuối cùng, một ứng dụng Mini Telegram hiển thị hộp thoại xác minh sai, tự động sao chép lệnh PowerShell lên bảng tạm và khiến kênh kèo nhà cái dùng chạy nó qua hộp thoại Windows Run.
  • Tải trọng:The PowerShell script downloads and executes a ZIP file containing multiple files, including identity-helper.exe, which has been linked to a potential Cobalt Strike loader.
  • Impact:Cobalt Strike là một công cụ kiểm tra thâm nhập thường xuyên bị lạm dụng bởi các tác nhân đe dọa để có được quyền truy cập từ xa vào các hệ thống, thường trước khi triển khai ransomware và trộm cắp dữ liệu.
  • Kỹ thuật trốn tránh:Ngôn ngữ được sử dụng trong suốt quá trình xác minh được lựa chọn cẩn thận để ngăn chặn sự nghi ngờ và duy trì ảo tưởng về tính hợp pháp.

Nhắc nhở:kênh kèo nhà cái dùng không bao giờ nên thực thi các lệnh được sao chép từ các nguồn trực tuyến vào hộp thoại Windows Run hoặc PowerShell của họ trừ khi chúng chắc chắn về tính hợp pháp của chúng. Nếu không chắc chắn, việc dán nội dung sao chép vào trình soạn thảo văn bản để xem xét có thể giúp xác định obfuscation, thường là một lá cờ đỏ. Nhưng phòng thủ an toàn nhất là một trình duyệt ảo an toàn nhưDarkPursuit, Ngăn chặn mã độc không bao giờ tiếp cận thiết bị của bạn.

Infostealer làm bối rối ngay cả các chuyên gia bảo mật

trong một kênh kèo nhà cái khácVí dụ, Lumma Stealer, một công cụ phần mềm độc hại (MAAS) hoạt động từ năm 2022, được thiết kế để đánh cắp thông tin nhạy cảm như ví tiền điện tử, dữ liệu trình duyệt, thông tin đăng nhập email và tệp tài chính.

Trong chiến dịch, CAPTCHA giả đã trình bày các hướng dẫn để mở cửa sổ Windows Run bằng cách nhấn Windows+R, dán nội dung Clipboard trong cửa sổ chạy bằng Ctrl+V, sau đó nhấn Enter để thực thi nó. Ngay cả những kênh kèo nhà cái dùng đủ hiểu biết để biết không tải xuống và chạy các tệp trên web thường không nhận ra họ đang làm gì khi họ làm theo hướng dẫn. Hơn nữa, tải xuống tải trọng phần mềm độc hại bên ngoài trình duyệt đã phục vụ cơ chế chống phân tích, trốn tránh các điều khiển an ninh mạng dựa trên trình duyệt.

Cách thức hoạt động

  • Phương pháp tấn công:nạn nhân được chuyển hướng đến các trang Captcha giả hướng dẫn họ thực thi các lệnh thông qua hộp thoại Windows Run. Điều này kích hoạt tập lệnh PowerShell tải xuống và cài đặt phần mềm độc hại.
  • Mục tiêu:Chiến dịch kéo dài nhiều ngành công nghiệp, bao gồm chăm sóc sức khỏe, ngân hàng, viễn thông và tiếp thị, với các nạn nhân ở các quốc gia như Argentina, Hoa Kỳ và Philippines.
  • Khả năng:LUMMA STEALER quét các tệp cho các từ khóa nhạy cảm (ví dụ: ví.txt.txt) và phát dữ liệu đến các máy chủ chỉ huy và kiểm soát. Nó cũng sử dụng các kỹ thuật như quá trình rỗng và AMSI bỏ qua để trốn tránh phát hiện.
  • Phân phối:Besides fake CAPTCHAs, it spreads via phishing emails, cracked software, Discord messages, and GitHub-hosted payloads.

Nhắc nhở:kênh kèo nhà cái dùng nên tránh thực thi các lệnh từ các nguồn không đáng tin cậy và thực hiện các giải pháp bảo vệ điểm cuối mạnh mẽ. Lumma Stealer đặt ra một rủi ro đáng kể về tổn thất tài chính và hành vi trộm cắp danh tính do khả năng đánh cắp dữ liệu quan trọng. Tránh những rủi ro như thế này bằng cách sử dụng máy ảo an toàn, chẳng hạn nhưBộ thông minh Darkbluexông sDarkPursuit, Khi truy cập vào môi trường trực tuyến không an toàn.

Di chuyển dự kiến đến Web tối

Các nhà phân tích CACI chưa thấy vectơ tấn công này di chuyển sang web tối, nhưng nó chỉ là vấn đề thời gian. Các quản trị viên thị trường Darknet gần đây đã bắt đầu tìm hiểu về các phương pháp CAPTCHA, cho thấy các vụ lừa đảo CAPTCHA tương tự nằm ngay gần đó. Một khi các kỹ thuật này được vũ khí hóa cho các thị trường web tối, chúng có thể được gói với các bộ dụng cụ lừa đảo khác hoặc được bán dưới dạng các công cụ tấn công độc lập, khiến chúng trở nên phổ biến hơn. Phần mềm web tối được sử dụng bởi tội phạm mạng đang phát triển nhanh chóng và giám sát các phát triển này thông qua tình báo mối đe dọa web tối và giám sát web tối nguồn mở là rất quan trọng để phát hiện sớm.

Bảo vệ chống lại các cuộc tấn công clickfix

Để tránh nạn nhân rơi vào các cuộc tấn công này, kênh kèo nhà cái dùng nên cảnh giác với các trang CAPTCHA yêu cầu tải xuống hoặc tập lệnh bổ sung. Các chuyên gia bảo mật nên đảm bảo các tổ chức của họ có các biện pháp bảo vệ điểm cuối và trình duyệt mạnh mẽ.

Đối với những kênh kèo nhà cái tiến hành công việc điều tra trong các môi trường có khả năng bị xâm phạm, các máy ảo an toàn là điều bắt buộc. TheDarkblue Intelligence Suitexông sDarkPursuitcung cấp một môi trường nghiên cứu an toàn để phân tích các mối đe dọa trong khi giảm thiểu tiếp xúc với phần mềm độc hại và các nỗ lực lừa đảo. Khi Captcha lừa đảo phát triển, việc tận dụng các công cụ an toàn như Darkpursuit và Osint Các thực tiễn tốt nhất sẽ rất cần thiết khi đi trước các diễn viên đe dọa.Yêu cầuMột bản dùng thử miễn phí để kiểm tra DarkBlue ngay hôm nay.