HuluCaptcha lừa người dùng chạy mã độc bằng CAPTCHA giả qua lệnh Run của Windows

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
99
835 bài viết
HuluCaptcha lừa người dùng chạy mã độc bằng CAPTCHA giả qua lệnh Run của Windows
WhiteHat Team
Một phương thức tấn công mới và cực kỳ tinh vi có tên HuluCaptcha vừa được phát hiện, chúng lợi dụng các trang Captcha giả để dụ người dùng tự tay kích hoạt mã độc trên máy tính Windows thông qua hộp thoại Windows Run.

HuluCaptcha - A FakeCaptcha Kit That Trick Users to Run Code via The Windows Run Command.jpg

Thay vì phát tán virus theo cách truyền thống, kẻ tấn công sử dụng các trang xác minh bảo mật giả giống Cloudflare, hướng dẫn người dùng nhấn tổ hợp phím Windows + R, rồi dán một đoạn “mã xác minh” - thực chất là lệnh độc hại được ngụy trang tinh vi.

Cách thức tấn công này được triển khai qua một chuỗi tấn công có quy trình khá chặt chẽ và chuyên nghiệp:
  • Kẻ tấn công tiêm JavaScript độc hại vào các trang WordPress bị xâm nhập
  • Khi người dùng truy cập những trang này, họ bị chuyển hướng sang một trang Captcha giả mạo
  • Chúng sẽ yêu cầu nạn nhân thực hiện thao tác nhấn Windows + R và paste "mã xác minh" - thực chất là lệnh powershell độc hại.
  • Lệnh này tải xuống và thực thi các malware, như: Lumma Stealer, Aurotun Stealer và Donut Injector,... có khả năng đánh cắp thông tin nhạy cảm và kiểm soát hệ thống
  • Cuộc tấn công này khai thác kỹ thuật social engineering kết hợp với thực thi lệnh từ clipboard, làm gia tăng rủi ro bảo mật cho cả người dùng cá nhân và tổ chức
Mức độ nguy hiểm của hình thức này:
  • Tấn công đa tầng, rất khó phát hiện: Mã độc được cài vào nhiều nơi trong hệ thống, có thể ẩn mình kỹ, theo dõi người dùng hoặc đánh cắp thông tin cá nhân (tài khoản, mật khẩu, dữ liệu…).
  • Không chỉ người dùng bình thường bị ảnh hưởng, mà nhiều trường học, bệnh viện, cơ quan nhà nước tại các nước khác cũng đã bị lây nhiễm.
  • Có nhiều lớp mã hóa, theo dõi hành vi người dùng theo thời gian thực, tương thích với nhiều trình duyệt (Chrome, Edge, Firefox).
  • Khả năng duy trì truy cập lâu dài: Kẻ tấn công khi xâm nhập vào website (đặc biệt là WordPress), mã độc có thể tạo tài khoản quản trị viên ẩn, khiến hacker có thể quay lại bất kỳ lúc nào, dù bạn tưởng rằng đã xóa sạch.
  • Mã độc này không phải do cá nhân nhỏ lẻ tạo ra mà là cả một hệ thống có cấu trúc rõ ràng, có thể bán như một dịch vụ (malware-as-a-service) cho các nhóm hacker khác.
Tất cả người dùng cá nhân (tổ chức) đều cần lưu ý:
  • Tuyệt đối không chạy bất kỳ “mã xác minh” nào được yêu cầu paste vào hộp thoại Run (Windows + R) - kể cả từ trang web trông có vẻ uy tín.
  • Cảnh giác với giao diện Captcha bất thường hoặc yêu cầu thao tác lạ trên hệ thống - Captcha thật không bao giờ yêu cầu dùng tổ hợp phím hoặc chạy lệnh.
  • Quản trị viên website WordPress nên:
    • Kiểm tra và cập nhật các plugin, theme thường xuyên.
    • Quét mã nguồn tìm mã JavaScript lạ trong các file như "main.min.js".
    • Kiểm tra kỹ tài khoản quản trị viên có thể đã bị ẩn.
  • Cài đặt phần mềm bảo mật đáng tin cậy, cập nhật thường xuyên để phát hiện mã độc mới.
  • Rà soát, kiểm tra thường xuyên để bảo vệ các website khỏi bị tiêm mã độc.
Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lừa đảo quét mã QR nhúng trong email
  • Cảnh báo lừa đảo phát tán mã độc chiếm quyền điều khiển trên Android tại Việt Nam
  • Chiến dịch lừa đảo thẻ Visa tinh vi đang tràn vào Trung Quốc, Việt Nam, Malaysia
  • Thảo luận: mã độc mới EternalRocks có thể lây rộng hơn WannaCry
  • Malware giả làm phần mềm antivirus để lừa người dùng
  • Ultra Adware Killer - Thêm một lựa chọn trong việc tiêu diệt adware
    • Thẻ
    captcha cloudflare malware
    Bên trên