Sahte CAPTCHA ‘lar ve Tarayıcı Hataları İle Kullanıcılar Hedef Alınıyor

CAPTCHA

Yeni saldırı yönteminde kullanıcılar internette gezinirken farkında olmadan tüm ekranı kaplayan bir reklama tıklayarak sahte bir CAPTCHA sayfasına veya hırsızlık yazılımlarını indirmek için adımları takip etmelerini isteyen sahte bir Chrome hata mesajına yönlendiriliyor. 

CAPTCHA, kullanıcının insan mı yoksa otomatik bir program ya da bot mu olduğunu doğrulamak için web sitelerinde ve uygulamalarda kullanılan bir güvenlik özelliği. Bu yılın başlarında, siber saldırganların sahte CAPTCHA’lar kullanarak Lumma hırsızını dağıttığına ve özellikle oyuncuları hedef aldığına dair raporlar geldi.

Kullanıcılar oyun web sitelerinde gezinirken, tüm ekranı kaplayan bir reklama tıklamaları için kandırılıyordu. Ardından kullanıcılar sahte bir CAPTCHA sayfasına yönlendiriliyor ve sayfanın altında yer alan talimatlarla hırsızlık yazılımını indirmeleri için kandırılıyordu.

Kullanıcılar “Ben robot değilim” düğmesine tıkladıklarında, bilgisayarlarının panosuna şifrelenmiş bir Windows PowerShell komutu kopyalanıyor, daha sonra bu komutu terminal kutusuna yapıştırmaları ve Enter tuşuna basmaları isteniyordu.

CAPTCHA

Böylece Lumma indiriliyor ve başlatılıyordu. Kötü amaçlı yazılım, kurbanın cihazında kripto para birimiyle ilgili dosyaları, çerezleri ve şifre yöneticisi verilerini arıyor. Ayrıca çeşitli e-ticaret platformlarının web sayfalarını ziyaret ederek görüntülenme sayılarını artırıyor ve saldırganlara ek mali kazanç sağlıyor.

Kötü amaçlı talimatlar içeren sahte bir CAPTCHA

Yeni saldırı dalgasında güvenlik araştırmacıları, CAPTCHA yerine Chrome web tarayıcısında bir hizmet mesajı gibi görünecek şekilde tasarlanmış web sayfası hata mesajının yer aldığı başka bir saldırı senaryosu daha tespit etti. Saldırganlar, kullanıcıya terminal penceresine “düzeltmeyi kopyalaması” talimatını veriyordu (düzeltme, yukarıda açıklanan kötü amaçlı PowerShell komutuyla aynı içeriğe sahip).

Google Chrome’u taklit eden bir sahte mesaj

Güvenlik araştırmacıları, yeni saldırı dalgasının yalnızca oyuncuları değil, diğer grupları da hedef aldığını ve dosya paylaşım hizmetleri, web uygulamaları, bahis portalları, yetişkinlere yönelik içerik sayfaları, anime toplulukları ve diğer kanallar aracılığıyla dağıtıldığını keşfetti.

Saldırganlar bu saldırı dalgasında Amadey Truva atını da kullanıyor. Bu da tıpkı Lumma gibi popüler tarayıcılardan ve kripto para cüzdanlarından kimlik bilgilerini çalıyor. Ancak aynı zamanda ekran görüntüleri kaydedebiliyor, uzaktan erişim hizmetleri için kimlik bilgilerini alabiliyor ve kurbanın cihazına bir uzaktan erişim aracı indirerek saldırganların tam erişim elde etmesini sağlıyor.

Meta da Kendi Arama Motorunu Geliştiriyor