Доказали, что вы не робот? Теперь это значит, что вы только что сами установили себе вирус
NewsMakerХакеры стали настолько ленивыми, что просят пользователей взломать самих себя.
Новая вредоносная кампания показала, что фантазия киберпреступников продолжает расти: теперь они научились маскировать заражение под обычную проверку «Я не робот», используя легитимные инструменты Windows и подписанные компоненты Microsoft. В итоге жертва сама запускает вредоносную цепочку, которая незаметно приводит к заражению компьютера шпионским трояном Amatera.
Атака начинается с поддельной CAPTCHA-страницы , которая имитирует стандартную проверку на «человека». Пользователю предлагают вручную вставить и выполнить команду через окно «Выполнить» в Windows. На этом этапе используется метод ClickFix , при котором жертву убеждают самостоятельно запускать команды PowerShell. При этом пользователь не подозревает, что команды вредоносные.
Вставленная команда задействует легитимный скрипт Microsoft Application Virtualization под названием SyncAppvPublishingServer.vbs. Это корпоративный компонент Windows, предназначенный для управления виртуализированными приложениями. Скрипт запускается через доверенный процесс wscript.exe и проксирует выполнение PowerShell , что позволяет замаскировать вредоносную активность под обычную работу системных инструментов.
На первом этапе система проверяет, что команду действительно выполнил человек, что порядок выполнения не нарушен и что данные в буфере обмена не менялись. Это нужно для защиты от автоматического анализа в песочницах. Если среда выглядит как аналитическая, выполнение просто зависает в бесконечном ожидании, чтобы тратить ресурсы систем безопасности.
Новая вредоносная кампания показала, что фантазия киберпреступников продолжает расти: теперь они научились маскировать заражение под обычную проверку «Я не робот», используя легитимные инструменты Windows и подписанные компоненты Microsoft. В итоге жертва сама запускает вредоносную цепочку, которая незаметно приводит к заражению компьютера шпионским трояном Amatera.
Атака начинается с поддельной CAPTCHA-страницы , которая имитирует стандартную проверку на «человека». Пользователю предлагают вручную вставить и выполнить команду через окно «Выполнить» в Windows. На этом этапе используется метод ClickFix , при котором жертву убеждают самостоятельно запускать команды PowerShell. При этом пользователь не подозревает, что команды вредоносные.
Вставленная команда задействует легитимный скрипт Microsoft Application Virtualization под названием SyncAppvPublishingServer.vbs. Это корпоративный компонент Windows, предназначенный для управления виртуализированными приложениями. Скрипт запускается через доверенный процесс wscript.exe и проксирует выполнение PowerShell , что позволяет замаскировать вредоносную активность под обычную работу системных инструментов.
На первом этапе система проверяет, что команду действительно выполнил человек, что порядок выполнения не нарушен и что данные в буфере обмена не менялись. Это нужно для защиты от автоматического анализа в песочницах. Если среда выглядит как аналитическая, выполнение просто зависает в бесконечном ожидании, чтобы тратить ресурсы систем безопасности.