Bir süredir, güvenlik araştırmacıları Windows kullanıcılarını yanlışlıkla kötü amaçlı yazılım yüklemeye kandıran sahte insan doğrulama sayfaları konusunda uyarılarda bulunuyordu. Yakın zamanda ortaya çıkarılan bir kampanya, bazı kullanıcıların bu sayfalara nasıl ulaştığını gösterdi.
Sahte insan doğrulama sayfalarına dikkat edin
Ağustos 2024’ün sonlarında, Palo Alto Networks’ün 42. Birimi, göründükleri gibi olmayan yedi CAPTCHA tarzı insan doğrulama sayfası tespit etti.
“Bu sayfalarda, tıklandığında kurbanlara PowerShell betiğini bir Çalıştır penceresine yapıştırmaları için talimatlar gösteren bir düğme var. Bu kopyala/yapıştır PowerShell betiği, Lumma Stealer kötü amaçlı yazılımı için bir Windows EXE’yi alır ve çalıştırır,” diye açıkladı Unti 42 tehdit avcısı Paul Michaud II.
Enfeksiyon süreci (Kaynak: PAN Ünite 42)
Son zamanlarda CloudSEC araştırmacıları, çeşitli sağlayıcılarda barındırılan ve içerik dağıtım ağlarını kullanan, Lumma Stealer’ı yaymaya devam eden daha aktif sayfalar tespit ettiler.
“[The] “PowerShell betiği, ‘Ben robot değilim’ butonuna tıklanarak panoya kopyalanıyor” açıklamasında bulundular.
“Kullanıcı PowerShell komutunu Çalıştır iletişim kutusuna yapıştırdığında, PowerShell gizli bir pencerede çalıştırılacak ve Base64 kodlu komut yürütülecektir: powershell -w gizli -eC.”
Kod çözüldükten sonra komut, uzak sunucuda barındırılan ve Lumma Stealer’ı indirmek için ek komutlar içeren bir metin dosyasından içeriği alır ve bunları yürütür.
“İndirilen dosya (dengo.zip) Windows makinesinde çıkarılıp çalıştırıldığında, Lumma Stealer çalışır hale gelecek ve saldırganın kontrolündeki etki alanlarıyla bağlantılar kuracak” diyerek, bu sayfa aracılığıyla iletilen kötü amaçlı yazılımın kolayca değiştirilebileceğini belirttiler.
Hedeflenen kullanıcılar bu sayfalara nasıl yönlendiriliyor?
Güvenlik araştırmacısı Ax Sharma, yakın zamanda sahte insan doğrulama sayfalarına yönlendiren meşru GitHub sunucularından gelen e-posta uyarıları konusunda uyarıldı.
Konuyu araştırdığında, kötü amaçlı yazılım satıcılarının GitHub’daki açık kaynaklı depolarda “sorunlar” açtığını ve projenin bir “güvenlik açığı” içerdiğini iddia ettiğini keşfetti.
Bu eylem, bu depoların katkıda bulunanlarına ve abonelerine aynı içerikli e-posta uyarılarının gönderilmesini tetikledi.
E-posta uyarıları GitHub sunucularından gelir ve GitHub Güvenlik Ekibi tarafından imzalanır ve şuraya işaret eder: github tarayıcısı[.]com GitHub’a ait olmayan ve GitHub tarafından kullanılmayan alan adı. Sahte bir insan doğrulama sayfası, potansiyel kurbanlara bir trojan göndermek için orada bekliyor.
Kullanıcılar bu hilelerin farkında olmalı ve diğer “cazibelerle” daha fazla kampanyayla karşılaşmayı beklemelidir. Aynı PowerShell-script-kopyalama-ve-çalıştırma hilesi daha önce Proofpoint araştırmacıları tarafından belgelenen bir ClearFake kampanyasında kullanılmıştı.