“Hulucaptcha” adlı yeni ve sofistike bir kötü amaçlı yazılım dağıtım çerçevesi ortaya çıktı ve kullanıcıları Windows Run iletişim kutuları aracılığıyla kötü niyetli PowerShell komutlarını yürütmeye kandırmak için sahte captcha doğrulama sayfalarından yararlandı.
Bu gelişmiş tehdit, sosyal mühendislik saldırılarında önemli bir evrimi temsil ederek, meşru görünümlü güvenlik doğrulama arayüzlerini, eğitim kurumları ve devletle ilişkili web siteleri de dahil olmak üzere yüksek değerli hedefleri başarıyla tehlikeye atan karmaşık çok aşamalı enfeksiyon zincirleriyle birleştirir.
HuluCaptcha Framework, kötü niyetli JavaScript’i meşru sayfalara enjekte eden tehlikeye atılmış WordPress web siteleriyle başlayan özenle düzenlenmiş bir saldırı dizisiyle çalışır.
.png
)
Şüphesiz kullanıcılar bu enfekte olmuş siteleri ziyaret ettiklerinde, otomatik olarak Cloudflare güvenlik doğrulama sayfalarının ikna edici kopyalarına yönlendirilirler.
Bu sahte arayüzler, kullanıcılara tanıdık captcha tarzı zorluklar sunar ve Windows+R tuşlarına basmayı ve meşru doğrulama kodu gibi görünen şeyleri yapıştırmayı içeren doğrulama adımlarını tamamlamalarını söyler.
Bağımsız bir güvenlik araştırmacısı GI7W0RM, ilk olarak bu sofistike kampanyayı, bir meslektaşının Alman Uluslararası Hukuk Derneği’nin web sitesini ziyaret ederken saldırıya kurban ettikten sonra belirledi.
Araştırmacının kapsamlı analizi, bu çerçevenin, gelişmiş kurban izleme yeteneklerini, otomatik yük üretim sistemlerini ve hatta potansiyel ticarileştirme çabalarını gösteren bağlı kuruluş izleme mekanizmalarını içeren basit sosyal mühendislik taktiklerini çok fazla genişlettiğini ortaya koydu.
Kötü amaçlı yazılımların etkisi, birden fazla kıtayı kapsayan ve çeşitli örgütsel sektörleri etkileyen onaylanmış enfeksiyonlarla önemli olmuştur.
Kurbanlar arasında Los Angeles Bakıcı Kaynak Merkezi, çeşitli eğitim kurumları ve sağlık kuruluşları yer alıyor.
Çerçeve, Lumma Stealer, Aurotun Stealer ve Donut Enjektör Varyantları gibi birden fazla kötü amaçlı yazılım ailesinin konuşlandırılması gözlemlenerek, hizmet olarak kötü amaçlı bir platform olarak çok yönlülüğünü gösteriyor.
.webp)
Hulucaptcha’yı tipik sahte captcha saldırılarından ayıran şey, sofistike altyapısı ve teknik uygulamasıdır.
Çerçeve, belirli tarayıcı sürümleriyle uyumluluğu sağlamak için gerçek zamanlı kurban davranış takibi, çevresel keşif ve güvenlik çözümlerini atlamak için tasarlanmış karmaşık kaçırma mekanizmalarını içerir.
Saldırı zinciri, kampanyanın yayından kaldırma çabalarına karşı esnekliğini artıran fazlalık yaratarak birden fazla alan ve evreleme sunucusu içerir.
Gelişmiş enfeksiyon mekanizması ve kalıcılık taktikleri
Hulucaptcha enfeksiyon mekanizması, çok katmanlı uzlaşma ve kalıcılık yaklaşımında dikkate değer teknik gelişmişlik göstermektedir.
İlk enfeksiyon vektörü, dikkatle hazırlanmış JavaScript kodunun tehlikeye atılan WordPress web sitelerine enjekte edilmesini içerir, özellikle de tema dosyalarını hedeflemeyi içerir. main.min.js.
Bu kötü amaçlı komut dosyası, Windows işletim sistemlerini yürütmeden ve Microsoft Edge, Google Chrome ve Mozilla Firefox için belirli tarayıcı sürüm aralıklarını doğrulamadan önce kapsamlı çevre keşifleri gerçekleştirir.
Enjekte edilen kod, birden fazla geri dönüş mekanizması aracılığıyla komut ve kontrol altyapısı ile iletişim kurar.
Birincil iletişim yoluyla gerçekleşir analytiwave.com/api/getUrlgibi sert kodlanmış alanlara ikincil geri dönüş ile goclouder.com.
Komut dosyası, enfekte ana bilgisayar adı ve Base64 kodlu etki alanı bilgileri dahil olmak üzere izleme parametrelerini dinamik olarak oluşturur ve saldırganların tehlikeye atılan web sitesi portföyü boyunca kampanya etkinliğini izlemelerini sağlar.
Çevre kontrolleri yerine getirildikten sonra, mağdurlar meşru güvenlik hizmetlerini taklit etmek için tasarlanmış alanlarda barındırılan sofistike sahte bulutflare doğrulama sayfalarına yönlendirilir.
Bu sayfalar, onay kutusu tıklamaları, Windows tuş kombinasyonları ve tarayıcı odak etkinlikleri dahil olmak üzere kullanıcı etkileşimlerini izleyen gelişmiş JavaScript izleme mekanizmaları kullanır.
Çerçeve, her etkileşim aşamasını, ilk “Tıklamalı Doğrula” olaylarından tarayıcı bulanık olayları yoluyla Windows+R anahtar kombinasyonlarını algılamaya kadar günlüğe kaydeder ve saldırganlara kurban uyum oranları hakkında ayrıntılı zeka sağlar.
Kalıcılık mekanizması, gizli yönetici hesapları oluşturan sofistike eklenti tabanlı arka kapılar da dahil olmak üzere birden fazla WordPress backroorunun dağıtılmasını içerir.
Bu backdoors, kötü amaçlı hesapları yönetici arayüzlerden gizlemek, kullanıcı sayımı istatistiklerini tahrif etmek ve keşfedilip kaldırılırsa otomatik olarak yeniden etkinleştirilen kapsamlı gizli özellikler, WordPress SQL sorgularını değiştirir.
Çerçevenin gereksiz kalıcılığı, tek tek bileşenler algılanmış ve düzeltilmiş olsa bile erişime devam ettirir.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.