חברת Netskope Threat Labs חשפה מתקפת סייבר חדשה אשר משתמשת בטקטיקות הטעיה כדי להפיץ את נוזקת LegionLoader. מתקפה זו עושה שימוש ב- CAPTCHA מזויפים ו- CloudFlare Turnstile כדי להערים על קורבנות להוריד נוזקה למערכת המחשוב שלהם, מה שמוביל בסופו של דבר להתקנת תוסף דפדפן זדוני.
מאז פברואר 2025 עוקבת Netskope Threat Labs אחר מתקפות דיוג שונות ואחר נוזקות המכוונות למשתמשים המחפשים מסמכי PDF באינטרנט. לעתים קרובות משתמשים האקרים בשיטות מטעות בתוך קובצי PDF כדי להפנות קורבנות לאתרי אינטרנט זדוניים או לגרום להם להוריד נוזקות. במתקפת הסייבר החדשה שהתגלתה, משתמשים ההאקרים ב- CAPTCHA מזויפים וב- CloudFlare Turnstile כחלק מהאסטרטגיה שלהם לגרום לקורבנות להתקין את נוזקת LegionLoader.
שרשרת ההדבקה כוללת מספר שלבים מרכזיים: ההדבקה הראשונית מתחילה בהורדת קובץ, כאשר הקורבן מחפש מסמך ספציפי ומתפתה להוריד אותו מאתר אינטרנט זדוני. המסמך שהורד מכיל CAPTCHA מזויף, אשר, כאשר לוחצים עליו, מפנה את הקורבן דרך CAPTCHA של Cloudflare Turnstile לעמוד הודעות. לאחר מכן מתבקשים הקורבנות לאפשר להודעות הדפדפן להמשיך לדף זדוני אחר המבקש הפעלת אפשרות התרעות מהאתר. אם קורבן חוסם את בקשת ההתרעה בדפדפן או משתמש בדפדפן שאינו תומך בהתרעות, הם מנותבים להורדת יישומים כמו 7-Zip ו- Opera. עם זאת, אם הקורבן מסכים לקבל הודעות דפדפן, הוא מנותב ל- CAPTCHA שני של Cloudflare Turnstile. לאחר הזנת ה- CAPTCHA מופנה הקורבן לדף עם הוראות כיצד להוריד את המסמך המיועד לו. תהליך הורדה זה כרוך בכך שהקורבן יפתח את חלון ההפעלה של Windows, ידביק פקודה (שהועתקה ללוח) באמצעות Ctrl+V ויפעיל אותה. הפקודה משתמשת בשורת הפקודה כדי להפעיל את cURL כדי להוריד קובץ MSI ולאחר מכן פותחת את סייר הקבצים למקום שבו הורד קובץ ה- MSI. הפעלת קובץ MSI זה מפעילה את הנוזקה.
ההאקרים משתמשים בטכניקות שונות כדי להתחמק מגילוי: שרשרת ההדבקה משתמשת ביישום לגיטימי חתום של VMware המעמיס DLL זדוני כדי לטעון ולהפעיל את מטען LegionLoader. נעשה שימוש באלגוריתם מותאם אישית כדי לטשטש את מטעין המעטפת של LegionLoader. אתר האינטרנט של ההאקרים דורש שימוש ב- cURL כדי להוריד את מתקין ה- MSI, כאשר גישה לכתובת ה- URL דרך דפדפן מחזירה הודעה המציינת שהקובץ נמחק עקב הפרות של תקנון השירות. השלב האחרון של המתקפה כולל התקנת תוסף דפדפן זדוני. תוסף זה מסוגל לגנוב מידע רגיש של משתמשים ומחשבים על פני מספר דפדפנים, כולל Chrome, Edge, Brave ו- Opera.
הדו"ח מציין כי מתקפות סייבר אלו כוונו ליותר מ- 140 לקוחות Netskope הממוקמים בעיקר בצפון אמריקה, אסיה ודרום אירופה על פני מגזרים שונים – בראשם מגזרי הטכנולוגיה והשירותים הפיננסיים. הדוח מגיע למסקנה שהאקרים מכוונים באופן פעיל לקורבנות המחפשים מסמכי PDF באינטרנט ומשתמשים בטכניקות מתוחכמות כדי לגרום לקורבנות להתקין נוזקות במערכות המחשוב שלהם.
