Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
🔥Цепочка атаки
1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.
2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking. Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top. Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.
❗️Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.
Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
🔥Цепочка атаки
1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.
2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking. Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top. Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.
❗️Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.
To pay the bills, Mr. Durov is issuing investors $1 billion to $1.5 billion of company debt, with the promise of discounted equity if the company eventually goes public, the people briefed on the plans said. He has also announced plans to start selling ads in public Telegram channels as soon as later this year, as well as offering other premium services for businesses and users.
Newly uncovered hack campaign in Telegram
The campaign, which security firm Check Point has named Rampant Kitten, comprises two main components, one for Windows and the other for Android. Rampant Kitten’s objective is to steal Telegram messages, passwords, and two-factor authentication codes sent by SMS and then also take screenshots and record sounds within earshot of an infected phone, the researchers said in a post published on Friday.
