Что скрывает CAPTCHA? Новый вид атак превратил проверку в инструмент шпионажа

Группа Lunar Spider, известная также под названиями Gold SwathMore и Elara, активизировала новую вредоносную кампанию, в которой использует поддельный интерфейс проверки CAPTCHA для заражения устройств. Основным методом проникновения стал взлом уязвимых сайтов в Европе через неправильную настройку CORS — политики обмена междоменными ресурсами. На скомпрометированные ресурсы злоумышленники внедряют JavaScript-код iFrameOverload, который накладывает поверх содержимого поддельную CAPTCHA-страницу TeleCaptcha и начинает отслеживание активности пользователя.

Псевдоинтерфейс не просто имитирует процесс верификации, а принуждает жертву скопировать сгенерированную команду в буфер обмена. Эта строка включает PowerShell-запрос на загрузку MSI-файла, внутри которого содержится исполняемый файл Intel и вредоносная DLL Latrodectus. После запуска EXE-файл регистрируется в автозагрузке через Run-ключ реестра и при последующем запуске загружает DLL, используя механизм подмены порядка поиска библиотек. DLL в данном случае подписана, но её сертификат был впоследствии отозван.

Сама DLL Latrodectus версии 2.3 обеспечивает связь с командным сервером и выполняет различные команды для сбора информации. Конфигурация компонента указывает на поддержку RC4-шифрования, множество встроенных сценариев для сбора сетевых и системных данных, а также возможность дальнейшей загрузки вредоносных компонентов.

В состав функциональности входит опрос доменов доверия, просмотр групп пользователей, проверка наличия антивирусов, запросы к реестру и другие действия, характерные для подготовки к последующей атаке — в частности, к распространению вымогателей, с которыми Lunar Spider, согласно предыдущим данным, поддерживает сотрудничество.

Кроме загрузки и установки, TeleCaptcha активно следит за кликами жертвы и отправляет уведомления в Telegram-канал злоумышленников. Идентификаторы пользователей генерируются на основе случайных сочетаний прилагательных и животных, а также сохраняются в localStorage для отслеживания повторной активности. Особый интерес у операторов вызывают пользователи Windows — по их действиям отправляются дополнительные сообщения, в том числе с призывами к оператору проверить панель управления вредоносной инфраструктурой.

Инфраструктура, использованная в этой кампании, включает домены на базе AWS, Cloudflare и Railnet. Зарегистрированы они преимущественно через азиатские регистраторы и используются для разных стадий атаки — от размещения JavaScript и поддельной CAPTCHA до хостинга полезной нагрузки и C2-серверов. Большинство сайтов, через которые осуществляется первичное заражение, построены на WordPress и уязвимы к атакам через некорректные CORS-настройки.

Анализ обнаруженных MSI-файлов показывает, что их сборка выполнена с помощью AdvancedInstaller и в процессе установки они распаковывают CAB-архив, содержащий исполняемые и вспомогательные библиотеки. При этом запуск происходит без отображения окон, с автоматическим принятием условий, а подробности установки записываются в лог-файл. Для обеспечения устойчивости и незаметного присутствия используются хорошо известные техники, включая автозагрузку через реестр и DLL Sideloading в легитимный исполняемый файл от Intel.

Данный подход — продолжение стратегии, начатой ещё во времена активного распространения IcedID. После того как инфраструктура этой вредоносной платформы была ликвидирована в ходе операции Endgame, Lunar Spider перешла к Latrodectus, сохранив модели MaaS и загрузки раннего этапа. Учитывая богатый инструментарий и активность в Европе, в особенности в Германии, данная кампания представляет значительный риск для корпоративного сектора, особенно в финансовой сфере.