Lažni CAPTCHA test dovodi do infekcije malverima Lumma i Amadey

Vesti, 01.11.2024, 13:30 PM

Lažni CAPTCHA test dovodi do infekcije malverima Lumma i Amadey

Kaspersky upozorava na novu kampanju koja isporučuje malvere putem lažnog CAPTCHA testa koji se uobičajeno koristi na veb sajtovima za razlikovanje ljudi od botova.

Napadači u suštini iskorišćavaju instikt korisnika da brzo prođu kroz proces verifikacije. Zamke za žrtve ove kampanje su postavljene u onlajn oglasima, na pornografskim sajtovima, servisama za deljenje fajlova, platformama za klađenje, anime veb sajtovima i u veb aplikacijama koje monetizuju saobraćaj.

Ranija verzija ove prevare bila je prvenstveno usmerena na igrače čiji su uređaji bili inficirani malverima za krađu informacija na veb sajtovima koji su nudili krekovane igre.

Ova nova kampanja, praćena od sredine septembra do oktobra, pokazuje proširenje mreže distribucije, verovatno sa ciljem da dosegne širi krug žrtava, kažu istraživači kompanije Kaspersky.

Da bi zarazili uređaje korisnike malverima Lumma i Amadey, hakeri preusmeravaju žrtve na nešto što izgleda kao obični CAPTCHA izazov. Klikom na poznato dugme „Ja nisam robot“, međutim, kopira se zlonamerni kod, dok dovršavanje drugih naizgled normalnih koraka verifikacije pokreće kod.

U nekim napadima, skripta preuzima i pokreće arhivu koja sadrži malver Lumma, koji se od avgusta 2022. na ruskim hakerskim forumima prodaje kao malware-as-a-service.

Kada se instalira na uređaju žrtve, Lumma traži fajlove povezane sa novčanicima za kriptovalute i krade ih. Napadači pokušavaju da izvuku kolačiće i druge podatke za prijavu iz pretraživača, uključujući podatke iz menadžera lozinki.

Nakon eksfiltriranja dragocenih podataka, malver posećuje stranice različitih onlajn prodavnica. „Svrha je verovatno da generiše prihod za svoje operatere povećanjem pregleda ovih veb sajtova, slično reklamnom softveru“, rekli su istraživači.

Dok je Lumma ranije korišćena u tzv. lažnim CAPTCHA napadima, Amadey se prvi put koristi na ovaj način. Amadey je botnet koji se prvi put pojavio oko 2018. i trenutno se prodaje za oko 500 dolara na ruskim hakerskim forumima.

Amadey preuzima nekoliko modula za krađu lozinki iz popularnih pretraživača i otkriva adrese novčanika kriptovaluta u clipboardu i zamenjuje ih adresama koje kontrolišu napadači. Jedan modul takođe može da napravi snimke ekrana i, u nekim slučajevima, preuzme Remcos alat za daljinski pristup na uređaj žrtve, dajući napadačima potpunu kontrolu nad uređajem.

Prema rečima istraživača kompanije Kaspersky, korisnici u Brazilu, Španiji, Italiji i Rusiji su među najčešće pogođenim u ovoj kampanji, a za sada se ne zna koja hakerska grupa stoji iza nje.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje

ClickFix postao najčešći način isporuke malvera

ClickFix postao najčešći način isporuke malvera

Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje

WhatsApp uvodi korisnička imena

WhatsApp uvodi korisnička imena

Kompanija Meta saopštila je da korisnici WhatsApp-a od ove nedelje mogu da rezervišu korisničko ime koje će moći da koriste kada nova funkcija po... Dalje

Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika

Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika

Istraživači upozoravaju na novu phishing kampanju u kojoj napadači koriste zlonamernu Chrome ekstenziju kako bi preuzeli kontrolu nad Windows raču... Dalje