Campaña de malware utiliza un 'captcha' ingenioso para evadir las advertencias

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una campaña de malware utiliza un indicador captcha inteligente para engañar a los usuarios para que eludan las advertencias de los navegadores y descarguen el troyano bancario Gozi (también conocido como Ursnif).

Ayer, el investigador de seguridad MalwareHunterTeam compartió una URL sospechosa que descarga un archivo cuando intenta ver un video incrustado en YouTube sobre una prisión de mujeres de Nueva Jersey.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al hacer clic en el botón de reproducción, el navegador descargará un archivo llamado  "console-play.exe" y el sitio mostrará una imagen falsa de reCaptcha en la pantalla.

Como este archivo es un ejecutable, Google Chrome advierte automáticamente que el archivo puede ser malicioso y le pregunta si desea 'Conservar' o 'Descartar' el archivo.

Para evitar esta advertencia, los actores de amenazas muestran una imagen de reCaptcha falsa que solicita al usuario que presione los botones B, S, Tab, A, F y Enter en su teclado, como se muestra a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mientras presiona las teclas B, S, A y F no hace nada, presionar la tecla Tab hará que el botón 'Mantener' se enfoque, y luego presionar la tecla 'Enter' actuará como un clic en el botón, lo que hará que navegador para descargar y guardar el archivo en la computadora.

Como se puede ver, este mensaje de captcha falso es una forma inteligente de engañar a un usuario para que descargue un archivo malicioso que el navegador advierte que podría ser malicioso.

Después de un cierto período de tiempo, el video se reproducirá automáticamente, lo que podría hacer que los usuarios piensen que el 'captcha' exitoso lo permitió.

El sitio distribuye el troyano de robo de información Ursnif

Si un usuario ejecuta el ejecutable, creará una carpeta en% AppData% \ Bouncy para .NET Helper e instalará numerosos archivos. Todos estos archivos son un señuelo, aparte del ejecutable BouncyDotNet.exe, que se inicia.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mientras se ejecuta, BouncyDotNet.exe leerá varias cadenas del Registro de Windows que se utilizan para iniciar los comandos de PowerShell.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estos comandos de PowerShell compilarán una aplicación .NET utilizando el compilador CSC.exe incorporado que lanza una DLL para el troyano bancario Ursnif.

Una vez que se ejecute, Gozi robará las credenciales de la cuenta, descargará más malware en la computadora y ejecutará los comandos emitidos de forma remota por los actores de la amenaza.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta