Кампания по борьбе с вредоносным ПО использует умную “капчу” для обхода предупреждений браузера

27
Vitesco, дочерняя компания Continental, потерпела неудачу при дебюте на рынке

В кампании вредоносных программ используется умная подсказка с вводом кода, чтобы обманом заставить пользователей обойти предупреждения браузеров о загрузке банковского трояна Gozi (также известного как Ursnif).

Вчера специалист по безопасности MalwareHunterTeam поделился с BleepingComputer подозрительным URL-адресом, который загружает файл при попытке просмотра встроенного на YouTube видео о женской тюрьме в Нью-Джерси.

Когда вы нажимаете кнопку воспроизведения, браузер загружает файл с именем console-play.exe [ VirusTotal ], а сайт отображает на экране поддельное изображение reCaptcha.

Поскольку этот файл является исполняемым, Google Chrome автоматически предупреждает, что файл может быть вредоносным, и запрашивает, хотите ли вы «Сохранить» или «Отменить» файл.

Чтобы обойти это предупреждение, злоумышленники отображают поддельное изображение reCaptcha, предлагающее пользователю нажать на клавиатуре кнопки B, S, Tab, A, F и Enter, как показано ниже.

При нажатии клавиш B, S, A и F ничего не происходит, нажатие клавиши Tab заставит кнопку «Сохранить» сфокусироваться, а затем нажатие клавиши «Enter» будет действовать как щелчок по кнопке, вызывая браузер, чтобы загрузить и сохранить файл на компьютер.

Как видите, эта поддельная подсказка о вводе кода капчи – это умный способ обманом заставить пользователя загрузить вредоносный файл, который, как предупреждает браузер, может быть вредоносным.

По прошествии определенного времени видео будет автоматически воспроизводиться, потенциально заставляя пользователей думать, что успешная «капча» позволила это.

Сайт распространяет троян Ursnif, ворующий информацию

Если пользователь запускает исполняемый файл, он создаст папку в % AppData% \ Bouncy для .NET Helper и установит множество файлов. Все эти файлы являются ловушкой, за исключением запускаемого исполняемого файла BouncyDotNet.exe.

Во время работы BouncyDotNet.exe будет читать различные строки из реестра Windows, используемые для запуска команд PowerShell.

Эти команды PowerShell скомпилируют приложение .NET с помощью встроенного компилятора CSC.exe, который запускает DLL для банковского трояна Ursnif.

После запуска Gozi украдет учетные данные, загрузит на компьютер дополнительные вредоносные программы и выполнит команды, удаленные злоумышленниками.

Если вы заражены Ursnif, вам следует немедленно сменить пароли для своих онлайн-аккаунтов.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here