Сразу несколько компаний (Netskope Threat Labs, ReliaQuest и др.), занимающихся кибербезопасностью, опубликовали предупреждения о том, что злоумышленники обманывают сотрудников компаний-клиентов, в результате чего с поддельных страниц проверки входа с помощью капчи на их устройства загружаются вредоносные программы. Капчи – это дополнительные (зачастую раздражающие пользователя) проверки, которые разработчики сайтов добавляют в процедуры входа, чтобы убедиться, что имеют дело с реальными людьми, а не с ботами. Считается, что в отличие от пользователя бот не в состоянии пройти тест, введя случайную последовательность символов, отображаемую в графическом виде во всплывающем окне, или щелкнув по ряду полей с теми изображениями, которые ему укажут выбрать.

Зачастую все начинается с того, что сотрудник получает от человека, который выглядит как заслуживающий доверия источник, электронное письмо или текстовое сообщение с просьбой перейти на сайт, связанный с деятельностью его компании. Например, в сообщении разработчику может быть указано: «Мы обнаружили уязвимость в вашем репозитарии», после чего ему предлагается перейти по указанной ссылке на GitHub. На зараженный сайт можно натолкнуться также, выполняя в Интернете поиск обновления приложения или руководства по эксплуатации.

Далее на сайте появляется окно с требованием подтвердить, что вы человек, а не робот. Но вместо капчи там содержится указание скопировать скрипт (конечно, вредоносный) или, в более поздней версии, нажать на клавиатуре кнопку Windows и букву R. После этого нужно нажать Ctrl+V, чтобы вставить скрипт в окно запуска, и Enter, чтобы выполнить его.

В одном из вариантов на экране отображается всплывающее окно с надписью «Проверка не выполнена», после чего пользователю предлагается скопировать и запустить скрипт или установить так называемый корневой сертификат.

Какой бы ни была уловка, сам скрипт представляет собой набор команд PowerShell, обращающихся к управляющему серверу, который в конечном итоге пересылает Lumma Stealer или какую-то другую вредоносную программу на компьютер пользователя. Цель состоит в том, чтобы заставить сотрудника самостоятельно загрузить вредоносный код. Злоумышленник эти действия не выполняет.

Еще одна хитрость заключается в замене внешнего представления скрипта с программным кодом, который может показаться подозрительным, на какое-то изображение со смайликом или галочкой, взглянув на которое, пользователь думает, что он поступает правильно.

Чтобы защититься от атак подобного рода, руководителям служб информационной безопасности предлагается ряд рккомендаций.

— Предупреждайте об этой тактике при проведении регулярных тренингов по повышению осведомленности сотрудников о вопросах безопасности. Совет прост: от любых предложений вводить в компьютер какие-либо команды всегда следует отказываться. Напомните сотрудникам, чтобы они предупредили своих близких о вероятности мошенничества такого рода. Пользователи могут столкнуться с этим при поиске взломанного коммерческого программного обеспечения, которое они хотят получить бесплатно, или при просмотре учебных пособий на YouTube.

— Следите за использованием PowerShell. В большинстве организаций доступ к PowerShell должен быть разрешен лишь небольшому числу сотрудников.

— Администраторам Windows следует ограничить круг лиц, имеющих доступ к запуску команд операционной системы, теми, кому это действительно необходимо. Настройте соответствующим образом групповую политику. В разделе Конфигурация пользователя > Административные шаблоны > Меню «Пуск» и панель задач найдите параметр Удалить команду «Выполнить» из меню «Пуск». Если соответствующую политику применить на компьютерах, не принадлежащих администраторам и разработчикам, это лишит обычных пользователей возможности запускать вредоносные программы в сценариях подобного рода.

— Отключите возможность сохранения паролей в браузерах. Это поможет защититься от кражи сохраненных учетных данных.

— Включите двухфакторную аутентификацию, чтобы обезопасить себя в случае утечки учетных данных.

— Для обнаружения вредоносных программ и блокировки вредоносных скриптов используйте решения EDR (endpoint detection and response).