Kampanye malware menggunakan 'captcha' pintar untuk mengabaikan peringatan browser

Sebuah kampanye malware menggunakan prompt captcha pintar untuk mengelabui pengguna agar melewati peringatan browser untuk mengunduh trojan perbankan Gozi (alias Ursnif).

Kemarin, peneliti keamanan MalwareHunterTeam membagikan URL mencurigakan dengan BleepingComputer yang mengunduh file saat mencoba menonton video YouTube yang disematkan tentang penjara wanita New Jersey.

Ketika Anda mengklik tombol putar, browser akan mengunduh file bernama console-play.exe [VirusTotal], dan situs akan menampilkan gambar reCaptcha palsu di layar.

Karena file ini dapat dieksekusi, Google Chrome secara otomatis memperingatkan bahwa file tersebut mungkin berbahaya dan menanyakan apakah Anda ingin ‘Simpan’ atau ‘Buang’ file tersebut.

Untuk melewati peringatan ini, pelaku ancaman menampilkan gambar reCaptcha palsu yang meminta pengguna untuk menekan tombol B, S, Tab, A, F, dan Enter pada keyboard mereka, seperti yang ditunjukkan di bawah ini.

Sementara menekan tombol B, S, A, dan F tidak melakukan apa-apa, menekan tombol Tab akan membuat tombol ‘Keep’ menjadi fokus, dan kemudian menekan tombol ‘Enter’ akan bertindak sebagai klik pada tombol, menyebabkan browser untuk mengunduh dan menyimpan file ke komputer.

Seperti yang Anda lihat, prompt captcha palsu ini adalah cara cerdas untuk mengelabui pengguna agar mengunduh file berbahaya yang diperingatkan oleh browser bisa berbahaya.

Setelah jangka waktu tertentu, video akan diputar secara otomatis, berpotensi membuat pengguna berpikir bahwa ‘captcha’ yang berhasil mengizinkannya.

Jika pengguna menjalankan executable, itu akan membuat folder di bawah %AppData%\Bouncy untuk .NET Helper dan menginstal banyak file. Semua file ini adalah umpan, selain executable BouncyDotNet.exe, yang diluncurkan.

Saat dijalankan, BouncyDotNet.exe akan membaca berbagai string dari Registry Windows yang digunakan untuk menjalankan perintah PowerShell.

Perintah PowerShell ini akan mengkompilasi aplikasi .NET menggunakan kompiler CSC.exe bawaan yang meluncurkan DLL untuk trojan perbankan Ursnif.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings