Эксперт MalwareHunterTeam обнаружил подозрительный веб-адрес, на котором был выложен ролик с Youtube о злоупотреблениях в женской тюрьме в Нью-Джерси в США. При попытке посмотреть ролик в систему скачивается некий файл console-play.exe, а пользователю выводится интерфейс проверки ReCAPTCHA, где ему предлагается нажать последовательно клавиши B, S, Tab, A, F и Enter.
Поскольку скачиваемый файл — исполняемый, то браузер (в частности, Google Chrome) выводит предупреждение о его возможной вредоносности и запрашивает пользователя, что делать — сохранить или удалить. Очевидно, что, нажав комбинацию Tab и Enter в поддельной reCAPTCHA, пользователь переводит курсор на позицию «сохранить» и подтверждает команду. Нажатие остальных клавиш — это просто маскировка.
Поддельная CAPTCHA позволяет обходить защиту браузеровВидеофайл в итоге воспроизводится, так что пользователь считает, что проверка reCAPTCHA пройдена успешно.
Запустить вручнуюКак указывается в материале Bleeping Computer, если пользователь все-таки запускает скачанный исполняемый файл, тот создает каталог %AppData%\Bouncyfor .NETHelper и целый ряд файлов в нем. Большая часть из них — болванки, не играющие никакой осмысленной роли. Единственным значимым файлом оказывается еще один файл .exe — BouncyDotNet.exe, который запускается автоматически.
Эта программа считывает данные из системного реестра Windows и запускает команды PowerShell, с которые производят компиляцию приложения .NET, используя встроенный компилятор CSC.exe. Это приложение запускает DLL самого троянца Ursnif/Gozi.
Троянец специализируется на краже реквизитов доступа к банковским и другим ресурсам, а кроме того, способен скачивать другие вредоносы на зараженную систему и выполнять команды, поступающие от операторов.
«Довольно странно, что злоумышленники пошли на такие ухищрения, чтобы обойти защиту браузера, но не автоматизировали запуск исполняемого файла, — по идее его должна блокировать собственная система защиты UAC Windows, не говоря уже про Windows Defender, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — То есть, нужно очень активное содействие со стороны пользователя, чтобы произошло заражение. Вероятность такого содействия по нынешним временам уже невелика».
Эксперты компании Palo Alto Networks в недавнем исследовании обнаружили, что злоумышленники вполне активно используют всамделишные ReCAPTCHA и другие подобные средства защиты от роботов, чтобы обеспечивать скрытность фишинговых ресурсов. Поисковые роботы, специализирующиеся на поиске вредоносного контента, часто не могут проникнуть на такие страницы, хотя эксперты PaloAlto описывают методики, позволяющие обходить такую защиту вредоносных страниц.