Von CAPTCHA zum Cyberangriff: Neue Angriffsmethode „CAPTCHAclipper“ entdeckt

Das Team des Conscia Security Operations Center (SOC) hat kürzlich eine sorgfältig ausgearbeitete Angriffskette aufgedeckt, die von einem Bedrohungsakteur ausgeführt wurde, der eine scheinbar harmlose CAPTCHA-Aufforderung nutzte.

Dieser Angriff, den wir CAPTCHAclipper genannt haben, ist ein Beispiel für das Zusammenspiel von Social Engineering und technischer Raffinesse, um die Systeme der Opfer zu kompromittieren und vertrauliche Daten auszuspionieren.

Wir beobachteten dieselben TTPs bei drei verschiedenen Angriffen im Laufe eines Monats, die alle in der geografischen Region Europa stattfanden.

Angesichts der Art der Angriffskette vermuten wir, dass ein erfahrener Bedrohungsakteur hinter diesen Angriffen steckt. Zum Zeitpunkt der Erstellung dieses Berichts können wir jedoch noch keine Zuordnung vornehmen. Bei der Hauptnutzlast handelt es sich wahrscheinlich um eine Variante der LummaC2 malware.

Als wir den Vorfall zum ersten Mal untersuchten, wurden die bereitgestellten IOCs nicht als bösartig eingestuft, was auf die Verwendung neuartiger TTPs hindeutet. Zum Zeitpunkt der Veröffentlichung dieses Artikels können wir jedoch bereits feststellen, dass bestimmte AV-Engines zumindest einige der IOCs erkennen, die jedoch leicht verändert und umfunktioniert werden können.

Im Folgenden erläutern wir verschiedene Stufen der Angriffskette und zeigen, wie Sie sich schützen können.

Analyse der Angriffskette Stufe 1: Der bösartige CAPTCHA-Köder

Der Angriff begann mit einem gezielten Köder: Die Nutzer wurden auf eine bösartige, aber legitim aussehende Website geleitet, auf der sich eine PDF-Datei befand, die der Nutzer mit einem Phishing-Köder herunterladen sollte. Bevor das Opfer die Datei herunterladen konnte, wurde ihm ein interaktives CAPTCHA vorgelegt.

Dieser erste Schritt diente einem doppelten Zweck:

1. Durch die Nachahmung legitimer Überprüfungsmethoden wurde eine Vertrauensbasis geschaffen.
2. Damit wurde der erste technische Exploit über JavaScript initiiert, den wir auch als ‘ClickFix’ or ‘paste and run’ Technik kennen.

Wenn Nutzer das CAPTCHA eingaben, um auf eine versprochene PDF-Datei zuzugreifen, wurde eine bösartige JavaScript-Nutzlast unbemerkt im Hintergrund ausgeführt.

Dieses Skript kopierte einen PowerShell-Befehl in die Zwischenablage des Systems und bereitete so den Boden für die nächste Phase:

Stufe 2: Social Engineering mit schadhaften Anweisungen

Nach dem Ausfüllen des CAPTCHA erhielten die Opfer eine Benachrichtigung, dass sie vor dem Herunterladen der Datei weitere Schritte zur Verifizierung durchführen müssen. Um die Datei herunterzuladen, musste das Opfer die bereitgestellten Anweisungen befolgen, die für den Erfolg des Angriffs entscheidend waren.

1. Drücken Sie Win+R, um das Dialogfeld Ausführen zu öffnen.
2. Drücken Sie STRG+V, um den Befehl aus der Zwischenablage einzufügen (nicht wissentlich).
3. Enter drücken.

Abbildung 3 – Das Opfer wird mit gefälschten Verifizierungsschritten gelockt, um die Angriffskette zu starten

Dieser scheinbar harmlose Befehl war in Wirklichkeit ein sorgfältig ausgeklügelter Übertragungsmechanismus. Es:

• Lud das bösartige Skript prizev2.txt von einem Remote-Server herunter.
• Führt das Skript vollständig im Speicher aus und umgeht damit dateibasierte Erkennungen.

Stufe 3: Bereitstellung der böswilligen Nutzlast

Das heruntergeladene Skript führte mehrere Aufgaben aus, um die weitere Ausbeutung vorzubereiten:

1. Es rief eine ZIP-Datei (prize.zip) ab von https://fixedzip.oss-ap-southeast-5.aliyuncs.com.
2. Es extrahiert den Inhalt der ZIP-Datei in einen zufällig erstellten Ordner innerhalb des APPDATA-Verzeichnisses.
3. Er startete die ausführbare Datei setup.exe und leitete damit die nächste Phase des Angriffs ein.

Die Verwendung des APPDATA -Verzeichnisses gewährleistete eine minimale Sichtbarkeit für routinemäßige Sicherheitsscans, was den Fokus des Akteurs auf Umgehung unterstreicht.

Stufe 4: Schädliche Aktivitäten von Setup.exe

Die ausführbare Datei Setup.exe war ein wirkungsvolles Tool, das sowohl auf unmittelbare Wirkung als auch auf langfristige Persistenz ausgelegt war. Zu seinen TTPs gehörten:

• Datendiebstahl: Extrahieren von Anmeldedaten, die in Browserdateien (Logindaten) für verschiedene Browser an ihrem typischen Dateispeicherort gespeichert sind.
• Auskundschaften: Identifizierung der installierten Antiviren- und Endgeräteschutzsoftware, um die Erkennung zu umgehen oder den Schutz zu deaktivieren.
• Command-and-Control (C2) Kommunikation: Aufbau einer ausgehenden Verbindung zu 21.4.107:443, die mit der Domain sliperyedhby.icu verbunden ist. Diese Verbindung ermöglichte die Datenexfiltration und weitere Befehle des Angreifers.
• Persistenz-Mechanismen: Registrierung im Windows Task Scheduler zur automatischen Ausführung nach dem Neustart des Systems. Erstellung einer zusätzlichen Datei (69HT8K.pif), möglicherweise als Täuschungsmanöver oder als zweite Stufe.

Auswirkungen und Erkenntnisse

Der CAPTCHAclipper-Angriff zeigt einen ausgeklügelten, vielschichtigen Ansatz zur Kompromittierung von Systemen:

• Benutzerinteraktion als Angriffsvektor: Der Rückgriff auf benutzergesteuerte Aktionen (Kopieren und Einfügen von Befehlen) ist ein Beispiel für die Effektivität von Social Engineering.
• Speichergestützte Ausführung: Die Ausführung von Nutzdaten im Speicher minimiert die Erkennung durch herkömmliche Antivirenlösungen.
• Persistenz und Exfiltration: Durch die Herstellung der Persistenz wurde ein langfristiger Zugriff gewährleistet, während die C2-Kommunikation Datendiebstahl und Fernsteuerung ermöglichte.

Wirksame Verteidigungsstrategien

Der CaptchaClipper-Angriff ist ein Beispiel dafür, wie schnell sich die Taktiken von Cyber-Angreifern weiterentwickeln. Seine Mischung aus technischem Einfallsreichtum und psychologischer Manipulation zeigt, dass proaktive Verteidigungsstrategien unerlässlich sind. Durch den Einsatz von Social Engineering und mehrstufigen Infizierungstechniken umgehen die Angreifer effektiv herkömmliche Verteidigungsmaßnahmen und nutzen das Vertrauen der Benutzer aus.

Um sich gegen solch ausgeklügelte Bedrohungen zu schützen, empfiehlt Conscia SOC Unternehmen einen mehrschichtigen Ansatz für die Cybersicherheit:

1. User Awareness Training: Führen Sie regelmäßig Schulungen durch, damit die Mitarbeiter Phishing und andere Social-Engineering-Techniken erkennen.
2. Enable Endpoint Detection and Response (EDR): Implementieren Sie Lösungen, die dateilose Malware und verdächtige PowerShell-Aktivitäten identifizieren und abwehren können.
3. Kontinuierliche Überwachung von Sicherheitsvorfällen: Der Einsatz von Sicherheitslösungen reicht nicht aus, wenn Sie keine Analysten haben, die die potenziellen Vorfälle überprüfen. Die rechtzeitige Erkennung ist bei dieser Art von Angriffen entscheidend, da der größte Teil der Angriffskette automatisiert ist.
4. PowerShell-Nutzung einschränken: Beschränken Sie die PowerShell-Ausführung auf zertifizierte Skripts und überwachen Sie die PowerShell-Aktivität genau.
5. Netzwerküberwachung und Erkennung von Datenlecks: Implementieren Sie Netzwerküberwachungs-Tools, um ungewöhnliche ausgehende Verbindungen zu C2-Servern oder eine nicht autorisierte Datenexfiltration zu erkennen.
6. Incident Response-Planung: Stellen Sie sicher, dass Ihr Team darauf vorbereitet ist, auf mehrstufige Infektionen mit einer klaren Abhilfestrategie zu reagieren.

Darüber hinaus ermutigen wir alle Cybersicherheitsexperten, sich aktiv an der Cybersicherheitsgemeinschaft zu beteiligen. Sie können:

• Zusammenarbeiten und Informationen austauschen: Erkenntnisse und Kompromissindikatoren (IOCs) mit vertrauenswürdigen Gemeinschaften austauschen, um ähnliche Bedrohungen zu bekämpfen.
• Berichten und Untersuchen: Wenn Sie ähnliche Vorkommnisse entdecken, melden Sie sie Ihren Threat-Intelligence-Anbietern oder nationalen Cybersicherheitsbehörden, um neue Entwicklungen zu verfolgen.
• Verbessern Sie die Jagd auf Bedrohungen: Nutzen Sie diese Analyse als Anwendungsfall zur Verbesserung der Fähigkeiten zur Bedrohungsjagd in Ihrem Unternehmen.