Une campagne de malware utilise un « captcha » intelligent pour contourner l’avertissement du navigateur

0

Une campagne de malware utilise une invite captcha intelligente pour inciter les utilisateurs à contourner les avertissements des navigateurs pour télécharger le cheval de Troie bancaire Gozi (alias Ursnif).

Le chercheur en sécurité MalwareHunterTeam a partagé une URL suspecte qui télécharge un fichier en essayant de regarder une vidéo YouTube intégrée sur une prison pour femmes du New Jersey.

malware
Vidéo YouTube intégrée sur le site malveillant

Lorsque vous cliquez sur le bouton de lecture, le navigateur téléchargera un fichier nommé console-play.exe [VirusTotal], et le site affichera une fausse image reCaptcha à l’écran.

Comme ce fichier est un exécutable, Google Chrome avertit automatiquement que le fichier peut être malveillant et vous demande si vous souhaitez « conserver » ou « rejeter » le fichier.

Pour contourner cet avertissement, les auteurs de la menace affichent une fausse image reCaptcha qui invite l’utilisateur à appuyer sur les boutons B, S, Tab, A, F et Entrée de leur clavier, comme indiqué ci-dessous.

captcha
Le faux reCaptcha contourne les avertissements du navigateur

Tout en appuyant sur les touches B, S, A et F ne fait rien, appuyer sur la touche Tab fera que le bouton « Keep » se concentrera, puis appuyer sur la touche « Entrée » agira comme un clic sur le bouton, poussant le navigateur à télécharger et enregistrer le fichier sur l’ordinateur.

Comme vous pouvez le voir, cette fausse invite de captcha est un moyen intelligent d’inciter un utilisateur à télécharger un fichier malveillant que le navigateur présente comme pouvant être malveillant.

Après un certain temps, la vidéo sera lue automatiquement, ce qui pourrait faire penser aux utilisateurs que le « captcha » réussi en est la cause.

Le site distribue le cheval de Troie voleur d’informations Ursnif

Si un utilisateur exécute l’exécutable, il créera un dossier sous %AppData%\Bouncy for .NET Helper et installera de nombreux fichiers. Tous ces fichiers sont un leurre, à l’exception de l’exécutable BouncyDotNet.exe, qui est lancé.

bouncydotnet folder
Dossier Bouncy extrait pour .NET Helper

Pendant l’exécution, BouncyDotNet.exe lira diverses chaînes du registre Windows utilisées pour lancer les commandes PowerShell.

éditeur de registre

Ces commandes PowerShell compileront une application .NET à l’aide du compilateur CSC.exe intégré qui lance une DLL pour le cheval de Troie bancaire Ursnif.

Une fois exécuté, Gozi(Ursnif) volera les informations d’identification du compte, téléchargera d’autres logiciels malveillants sur l’ordinateur et exécutera les commandes émises à distance par les pirates informatiques.

Si vous êtes infecté par Ursnif, vous devez immédiatement changer les mots de passe de vos comptes en ligne.

Laisser un commentaire