Firma HP Inc. opublikowała najnowszy raport HP Threat Insights, w którym ostrzega, że cyberprzestępcy coraz częściej wykorzystują fałszywe testy weryfikacji CAPTCHA, aby oszukiwać użytkowników i zarażać ich złośliwym oprogramowaniem. Wyniki raportu przedstawiono podczas corocznej konferencji Amplify, a dane pochodzą z milionów punktów końcowych działających w ramach HP Wolf Security.
- Firma HP Inc. ostrzega przed rosnącym wykorzystaniem fałszywych testów CAPTCHA przez cyberprzestępców.
- Kampanie „CAPTCHA Me If You Can” kierują użytkowników na złośliwe strony, gdzie uruchamiają trojana Lumma Stealer.
- Badacze z HP Wolf Security zidentyfikowali trojana XenoRAT, który ma zdolności szpiegowskie.
- Atakujący wykorzystują inżynierię społeczną do aktywacji makr w dokumentach Word i Excel, co prowadzi do kradzieży danych.
- Inna kampania polega na dostarczaniu złośliwego kodu JavaScript ukrytego w obrazach SVG, co uruchamia różne ładunki malware.
Wykorzystanie fałszywych CAPTCHA
Raport wskazuje, że kampanie „CAPTCHA Me If You Can” kierowały użytkowników na strony kontrolowane przez atakujących, nakłaniając ich do wypełnienia fałszywych wyzwań autoryzacyjnych. Ofiary nieświadomie uruchamiały złośliwe polecenia PowerShell, które instalowały trojana zdalnego dostępu Lumma Stealer na ich urządzeniach.
Nowe zagrożenia
Badacze HP Wolf Security zidentyfikowali również inne zagrożenia, w tym rozprzestrzenianie otwartego trojana zdalnego dostępu XenoRAT, który posiada zdolności szpiegowskie, takie jak przechwytywanie dźwięku z mikrofonu i obrazu z kamery internetowej. Atakujący stosowali techniki inżynierii społecznej, aby przekonać użytkowników do włączenia makr w dokumentach Word i Excel, co umożliwiało im kradzież danych, rejestrowanie naciśnięć klawiszy oraz kontrolowanie urządzeń.
Malware w obrazach SVG
Inna kampania opisana w raporcie dotyczyła dostarczania złośliwego kodu JavaScript ukrytego w obrazach SVG. Po otwarciu w przeglądarkach internetowych, obrazy te uruchamiały siedem różnych ładunków złośliwego oprogramowania, w tym RAT-y i infostealery. Atakujący wykorzystywali również złośliwe skrypty Python, co było możliwe dzięki rosnącej popularności Pythona wśród programistów, szczególnie w dziedzinach AI i nauki o danych.
Techniki obfuscacji
„Wspólnym mianownikiem tych kampanii jest stosowanie technik obfuscacji i antyanalizy, które spowalniają dochodzenia” – powiedział Patrick Schläpfer, główny badacz zagrożeń w HP Security Lab. „Nawet proste, ale skuteczne techniki unikania wykrycia mogą opóźnić reakcję zespołów operacji bezpieczeństwa, co utrudnia ograniczenie intruzji” – dodał.
Bezpieczeństwo klientów HP
HP Wolf Security podkreśla, że ich podejście do izolacji zagrożeń w bezpiecznych kontenerach dostarczyło cennych informacji na temat najnowszych technik cyberprzestępców. Firma informuje, że klienci HP Wolf Security interagowali z ponad 65 miliardami załączników e-mail, stron internetowych i pobranych plików, nie zgłaszając żadnych naruszeń bezpieczeństwa.
Statystyki zagrożeń
Raport wykazał, że co najmniej 11% zagrożeń e-mailowych zidentyfikowanych przez HP Sure Click ominęło jeden lub więcej skanerów bramowych e-mail. Najczęstszą metodą dostarczania złośliwego oprogramowania były pliki wykonywalne (43%), a następnie pliki archiwalne (32%).
Wnioski i rekomendacje
„Wielostopniowa autoryzacja jest obecnie normą, co zwiększa naszą 'tolerancję na klikanie’” – zauważył Dr Ian Pratt, globalny szef bezpieczeństwa systemów osobistych w HP Inc. „Organizacje są w wyścigu zbrojeń z atakującymi – wyścigu, który AI tylko przyspieszy. Aby stawić czoła coraz bardziej nieprzewidywalnym zagrożeniom, organizacje powinny skupić się na zmniejszeniu powierzchni ataku poprzez izolację ryzykownych działań, takich jak klikanie w rzeczy, które mogą im zaszkodzić” – dodał.