/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F08af936830200eb6a44456193d6cfe92.jpg)
Проверка "Я не робот" может заразить гаджет вредоносным ПО: как распознать угрозу
Эксперты по кибербезопасности выявили новый вид атаки вредоносного ПО, который использует поддельные запросы на проверку браузера, имитирующие настоящие системы CAPTCHA.
Как отмечает Cyber Security News, хакеры пользуются доверием пользователей к знакомым интерфейсам безопасности, чтобы обманом заставить их выполнить вредоносный код на своих системах.
Как распознать вредоносную "проверку браузера"
Атака начинается, когда пользователи сталкиваются с чем-то, что выглядит как стандартная проверка безопасности браузера, дополненная знакомым интерфейсом "Я не робот", напоминающим систему reCAPTCHA от Google.
Однако вместо того, чтобы ставить галочки или идентифицировать изображения, пользователей просят нажать несколько сочетаний клавиш. Вредоносный интерфейс предлагает три безобидных на первый взгляд действия: нажатие клавиш Windows + R для открытия диалогового окна "Выполнить", нажатие Ctrl + V для вставки содержимого буфера обмена и нажатие клавиши Enter для выполнения команды.
В основе этой атаки лежат сложные манипуляции с буфером обмена и методами обфускации PowerShell. Когда люди посещают вредоносный сайт, код JavaScript автоматически копирует в буфер обмена сильно замаскированную команду PowerShell без их ведома. Команда обычно содержит инструкции по загрузке и запуска дополнительных вредоносных программ с удаленных серверов
Аналитики по безопасности также выявили вариации, включающие методы атак без использования файлов, когда вредоносное ПО работает исключительно в памяти, не записывая файлы на диск, что значительно усложняет обнаружение.
Фальшивая капча: как защититься
В статье рекомендуется настроить параметры безопасности браузера таким образом, чтобы предотвратить автоматический доступ к буферу обмена. Кроме того, нужно учитывать отличия настоящих систем CAPTCHA от подделок.
"Легитимная проверка браузера никогда не требует от пользователей выполнения команд через диалоговое окно "Выполнить" Windows или командную строку", — подчеркнули эксперты портала.
Важно Проверьте свой смартфон: названы признаки того, что кто-то читает ваши сообщенияРешения по обнаружению и реагированию на конечные точки (EDR) следует настроить для отслеживания необычных шаблонов выполнения PowerShell, особенно тех, которые связаны с сетевыми подключениями или модификациями системы.
Кроме того, можно запрограммировать устройства сетевой безопасности на обнаружение характерных шаблонов трафика, связанных с этими атаками, включая первоначальную доставку полезной нагрузки и последующие командно-контрольные сообщения.
Фокус также писал о том, что группа хакеров обзванивает людей по телефону и крадет данные с помощью новой кибератаки.