Операторы банковского трояна BankBot распространяют зловред через ложную страницу reCAPTCHA в погоне за конфиденциальными данными пользователей Windows и Android.

Как рассказали эксперты Sucuri, преступники приманивают жертв с помощью мошеннических рассылок. Зараженные письма замаскированы под требование подтвердить банковскую транзакцию, а ссылка в сообщении ведет на сайт, который повторяет дизайн страницы reCAPTCHA. Там и размещен зловредный PHP-файл.

В отличие от реальной проверочной страницы на этой все элементы статичны — при каждой загрузке ложная reCAPTCHA предлагает одни и те же картинки. Внимательный пользователь также может распознать подделку по отсутствию функции звуковой проверки.

Заражение происходит, если жертва вводит «капчу». Скрипт проверяет ОС устройства посетителя и в зависимости от результата доставляет полезную нагрузку в виде ZIP-дроппера или APK-файла. В обоих случаях жертва получает на свое устройство банковский троян BankBot.

Этот зловред охотится за целым набором различных пользовательских данных — его интересуют более 400 банковских приложений и такие интернет-сервисы, как Facebook, WhatsApp и Uber. BankBot также умеет перехватывать SMS-сообщения с кодами подтверждения, отслеживать местоположение жертвы и вымогать деньги, блокируя экран устройства.

Примечательно, что организаторы кампании скрываются от Google. Для этого скрипт на посадочной странице проверяет, есть ли в сетевых данных посетителя поисковый робот (web-crawler), применяемый для индексации веб-сайтов. При обнаружении соответствующего кода страница выдает ошибку 404. От других поисковиков вредонос не скрывается.

Эксперты отмечают, что эту кампанию может быть непросто остановить. Интернет-провайдеры и веб-хостеры могут заблокировать IP-адрес вредоносного ресурса, но если на соответствующем сервере размещаются и другие сайты, их работа также будет нарушена. Специалисты призывают веб-администраторов просканировать свои базы, чтобы вычистить зловредный код до того, как сработает защитная автоматика.

Это не первый раз, когда сервисы CAPTCHA попадают в новости. В декабре 2017 года опасный бэкдор нашелся в таком плагине для WordPress. Вредонос открывал преступникам доступ к управлению веб-ресурсами. В начале 2018 года злоумышленники добывали криптовалюту, пока пользователи отвечали на проверочный вопрос «капчи».

Категории: Вредоносные программы, Мошенничество