Pojavila se sofisticirana kampanja društvenog inženjeringa koja cilja nesvjesne korisnike putem lažnih zaslona za provjeru Cloudflarea, što predstavlja novi iskorak u taktici distribucije zlonamjernog softvera. Ova metoda napada koristi uvjerljiv izgled legitimnih usluga web sigurnosti kako bi prevarila žrtve da izvrše zlonamjerni kod na svojim sustavima, iskorištavajući inherentno povjerenje u etablirane pružatelje sigurnosti.
Kampanja zlonamjernog softvera koristi višestupanjski vektor napada koji započinje uvjerljivom lažnom stranicom za provjeru CAPTCHA, dizajniranom da oponaša stvarne sigurnosne provjere Cloudflarea. Kada korisnici naiđu na ovo obmanjujuće sučelje, bivaju potaknuti da završe ono što izgleda kao rutinski proces provjere, nesvjesno pokrećući složeni niz instalacije zlonamjernog softvera.
Sigurnosni istraživači, uključujući analitičare iz Shaquib Izhar, identificirali su ovu kampanju kao posebno opasnu zbog svog sofisticiranog pristupa društvenom inženjeringu i naprednih tehnika izbjegavanja. Napad pokazuje kako sajberkriminalci sve više iskorištavaju poznatost korisnika s legitimnim sigurnosnim mehanizmima kako bi zaobišli tradicionalni trening osviještenosti o sigurnosti i infiltrirali mreže.
Klikom na gumb “Provjeri”, zlonamjerna web stranica ubrizgava PowerShell kod izravno u međuspremnik korisnika, istovremeno bilježeći njihovu IP adresu u svrhu izviđanja. Sustav zatim potiče žrtve da izvrše dodatni korak provjere, stvarajući lažni osjećaj legitimnosti dok potajno nadgleda njihove radnje putem mogućnosti praćenja pritisaka tipki.
Mehanizam infekcije napada otkriva sofisticiranu tehničku implementaciju osmišljenu za izbjegavanje sustava za otkrivanje i održavanje operativne sigurnosti. Kada korisnici pristupe upitu za pokretanje sustava Windows, zlonamjerna web stranica uspostavlja komunikaciju s infrastrukturom za zapovijedanje i kontrolu napadača putem ugrađenih webhookova, šaljući obavijesti u stvarnom vremenu o radnjama žrtve.
Naredba PowerShell za lijepljenje preuzima teret kodiran u Base64 s pastesio[.]com, koji zatim preuzima i izvršava unaprijed kodiranu BAT datoteku s axiomsniper[.]info. Ova BAT datoteka uključuje značajke protiv analize, specifično provjerava okruženja virtualnog stroja i prekida izvršavanje ako se otkrije, čime se izbjegavaju sustavi za automatsku analizu sigurnosti i sandbox okruženja.
Trenutno, BAT datoteka održava nultu detekciju na skenerima VirusTotal, naglašavajući učinkovitost kampanje u izbjegavanju tradicionalnih metoda detekcije temeljenih na potpisima i naglašavajući kritičnu potrebu za pristupima bihevioralne analize u modernim strategijama sajber sigurnosti.
Kampanja je javno objavljena na platformi X (ranije poznatoj kao Twitter) od strane analitičara sigurnosti, skrećući pažnju stručne zajednice na ovu novu metodu širenja zlonamjernog softvera. Posebno se naglašava napredna priroda društvenog inženjeringa koji se koristi, gdje prevaranti uspijevaju navesti korisnike da sami pokrenu opasan kod. Ovakve vrste napada postaju sve češće, a korisnici se sve više susreću sa sličnim tehnikama obmane. Jedan od ključnih elemenata prevare je iskorištavanje povjerenja u poznate brendove poput Cloudflarea, čije korisnike uvjeravaju da je provjera nužna.
U detaljnom opisu metodologije, napadači stvaraju web stranice koje izgledaju gotovo identično legitimnim Cloudflare stranicama za provjeru. Korisnik se suočava sa zahtjevom za “dokazivanjem da nije robot”, što je uobičajena praksa na internetu. Kada korisnik klikne na gumb “Provjeri” ili sličnu opciju na lažnoj stranici, umjesto uobičajene provjere, sustav automatski kopira zlonamjerni PowerShell kod u međuspremnik korisnika. Paralelno s tim, napadači prikupljaju IP adresu korisnika za daljnje praćenje. Sljedeći korak uključuje izmjenu sustava tako da zatraži dodatnu provjeru, što stvara lažni osjećaj legitimnosti, dok u pozadini sustav bilježi sve pritiske tipki korisnika. Nakon toga, kada korisnik pokrene upit za pokretanje (Run prompt) na Windows sustavu, zlonamjerni kod stupa u kontakt s poslužiteljima napadača. Nadalje, napadači koriste javno dostupne platforme poput pastebin[.]com za pohranu enkriptiranih zlonamjernih skripti koje se zatim preuzimaju i izvršavaju. Ključno je da je skripta osmišljena tako da izbjegava detekciju u virtualnim okruženjima, što otežava njeno analiziranje alatima za automatsku analizu sigurnosti. Ova BAT datoteka trenutno prolazi neotkriveno na popularnim antivirusnim platformama, što ukazuje na potrebu za naprednijim metodama detekcije temeljenim na ponašanju.