Shadowcaptcha olarak bilinen büyük ölçekli bir siber suç komplosu, İsrail Ulusal Dijital Ajansı’nda siber güvenlik araştırmacıları tarafından halka açıldı.
Bu kampanya, kullanıcıları kötü niyetli komutlar çalıştırmaya yönlendirmek için CloudFlare veya Google gibi meşru hizmetleri taklit eden aldatıcı captcha arayüzlerini dağıtarak ClickFix tekniğinden yararlanır.
Geri ihlal edilen WordPress web siteleri aracılığıyla izlenen operasyon, sosyal mühendislik ve teknik kaçak taktiklerinin sofistike bir karışımını temsil eder ve küresel olarak kuruluşlar için risk oluşturur.
Retrospektif adli analiz, ShadowCaptcha’nın en az bir yıl boyunca faaliyete geçtiğini ortaya koymaktadır ve göstergeler çeşitli sektörlerdeki binlerce varlığın potansiyel uzlaşmasını önermektedir.
Saldırganlar, kurbanları kimlik avı cazibesinin ortaya çıktığı saldırgan kontrollü alanlara yönlendirerek 100’den fazla tanımlanmış WordPress sitesine kötü niyetli JavaScript enjekte ediyor.
Bu altyapı, çeşitli aileleri ve varyantları kapsayan, kampanyanın uyarlanabilirliğini ve ölçeğini vurgulayan yüzlerce kötü amaçlı yazılım örneğinin dağılımını desteklemektedir.
Shadowcaptcha saldırı zincirinin anatomisi
ShadowCaptcha kampanyası, ilk erişim ve kalıcılığa ulaşmak için sosyal mühendisliği, karara yaşamın ikili dosyalarıyla (lolbins) entegre eden çok katmanlı bir saldırı metodolojisi kullanıyor.
Sahte Captcha sayfasıyla karşılaşan kurbanların, ikincil yükleri indirip çalıştırmak için PowerShell veya CMD.EXE gibi sistem ana araçlarından yararlanan sorun giderme adımları olarak sıklıkla gizlenen komutları yürütmeleri istenir.
Rapora göre, bu ClickFix varyantı, doğrudan kötü amaçlı yazılım teslimatından kaçınarak geleneksel güvenlik kontrollerini atlar, bunun yerine kullanıcıları uzlaşmayı kendi kendine sıkıştırmaya zorlar.
Yürütüldükten sonra, yükler anahtarlogerlar ve tarayıcı uzantısı manipülasyonları aracılığıyla kimlik bilgisi hasatını kolaylaştırarak, giriş kimlik bilgileri, oturum çerezleri ve otomatik doldurma bilgileri gibi hassas verilerin eksfiltrasyonunu sağlar.
Paralel olarak, operasyon, enfekte olmuş sistemlerin hesaplama kaynaklarını kullanan kripto para madencilerini dağıtarak performans bozulmasına ve yüksek enerji maliyetlerine yol açar. Daha endişe verici bir şekilde, bazı varyantlar fidye yazılımı dağıtımına, dosyaları şifrelemeye ve kripto para birimlerinde talep eden ödemelere yükselir.
Saldırganların gizlenmiş JavaScript ve Dinamik Etki Alanı Üretim Algoritmaları (DGA’lar) kullanımı yayından kaldırmalara karşı esneklik sağlarken, küçük işletmelerden büyük işletmelere kadar fırsatçı hedefleme finansal olarak motive olmuş bir tehdit aktör profilinin altını çiziyor.
Adli eserler, bu kampanyanın modüler çerçevesine uyarlanmış Redline veya Lummac2 gibi infosterers dahil olmak üzere bilinen kötü amaçlı yazılım aileleriyle olan ilişkileri göstermektedir.
Bu taktiklerin kaynaşması sadece kampanyanın gizliliğini değil, aynı zamanda para kazanma potansiyelini de güçlendiriyor.
Veri hırsızlığını kaynak kaçırma ile birleştirerek Shadowcaptcha, tek bir vektöre güvenmeden yasadışı kazançları en üst düzeye çıkarır, sistem keşiflerine dayalı koşullu yük yürütme yoluyla mağdur ortamlara uyum sağlar.
Birden fazla kıtaya dağıtılan komut ve kontrol (C2) sunucuları ile kanıtlanan küresel ayak izi, muhtemelen yeraltı siber suç forumlarına bağlı iyi kaynaklı bir işlem olduğunu göstermektedir.
Daha geniş sonuçlar
ShadowCaptcha’ya karşı koymak için kuruluşlar, taktiklerine, tekniklerine ve prosedürlerine (TTP’ler) odaklanan algılama mühendisliğine öncelik vermelidir.
Web oturumlarından beklenmedik PowerShell çağrıları gibi anormal lolbin kullanımını işaretlemek için davranışsal analitik uygulamak ilk yürütme aşamasını bozabilir.
WordPress ortamlarındaki JavaScript enjeksiyonlarını tespit etmek için ayarlanmış web uygulaması güvenlik duvarları (WAF) dahil ağ düzeyinde savunmalar, kötü amaçlı captcha lurs’a yeniden yönlendirilmeyi önlemek için gereklidir.
Son nokta tespit ve yanıt (EDR) araçları, olağandışı CPU ani artışları veya bilinen madencilik havuzlarına bağlantılar gibi kriptominasyon imzalarını izlemek için kuralları içermelidir.
Kullanıcı farkındalık eğitimi, CAPTCHA istemlerinin doğrulanmasını ve özellikle ClickFix sosyal mühendisliği bağlamında istenmeyen komut yürütmelerinden kaçınmayı vurgulayarak kritik olmaya devam etmektedir.
ShadowCaptcha’nın daha geniş etkileri, WordPress gibi içerik yönetim sistemlerinde, eşleştirilmemiş eklentilerin kitle uzlaşmaları için giriş noktaları olarak hizmet ettiği güvenlik açıklarını vurgulamaktadır.
Kontrolsüz bırakılırsa, bu kampanya, ağlar içinde yanal hareket sağlayarak ve ileri kalıcı tehditleri (APT’ler) kolaylaştıran yetkisiz erişime yol açabilir.
Finansal yansımalar, sadece fidye yazılımlarından kaynaklanan doğrudan kayıpları değil, aynı zamanda veri ihlalleri için GDPR gibi çerçeveler altında düzenleyici para cezalarını da içerir.
Uyarlanabilir doğası ile Shadowcaptcha, siber tehditlerin gelişen manzarasını örneklendirerek tehdit istihbarat paylaşımı ve düzenli güvenlik açığı değerlendirmeleri yoluyla proaktif bir duruş çağırıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!