Эксперты Sucuri предупреждают: новая фишинговая кампания, направленная на клиентов польских банков, использует Google reCAPTCHA для маскировки и кражи пользовательских данных.
На первый взгляд письма фишеров выглядят вполне обычно. Как правило, эти послания якобы содержат запрос о подтверждении некой фальшивой транзакции и ссылку на вредоносный файл .PHP. Пользователю предлагают верифицировать транзакцию, перейдя по данной ссылке.
Если жертва не распознает фальшивку и переходит по предложенному адресу, она попадает не на имитацию настоящего сайта банка, а на фальшивую страницу с ошибкой 404. Эта страница содержит ряд специально заданных user-agent, которые ограничивают краулеры Google. Если запрос пользователя проходит через этот фильтр (то есть user agent не связан с краулером Google), жертве предлагают решить поддельную Google reCAPTCHA, составленную из статичных элементов HTML и JavaScript .
Эксперты признают, что мошенники неплохо потрудились над имитацией reCAPTCHA, хотя из-за статичных элементов изображения всегда будут одни и те же, а также у фишеров не работает опция аудиовоспроизведения.
Пока жертва решает фальшивую reCAPTCHA, вредоносный код злоумышленников еще раз проверяет user agent и решает, какую малварь «отдать» пользователю: дроппер в формате файла .ZIP или вредоносное .APK для Android.
Согласно VirusTotal, вредонос, распространяемый злоумышленниками, обнаруживается как Banker, BankBot, Evo-gen или Artemis. Он способен извлекать информацию о зараженном устройстве, данные о местоположении и контактах, а также малварь может читать и отправлять SMS, совершать голосовые вызовы, записывать аудио и похищать конфиденциальную информацию.