Infostealer Spreading Through Fake Google reCAPTCHA

The Beginning
Desember ini saya mendapatkan sebuah notifikasi dari sebuah group Facebook yang saya ikuti, dalam post tersebut (sekarang di hapus) berisi sebuah screenshot seperti gambar di atas, lengkap dengan caption: ‘Apakah ini berbahaya atau nggak? Kok captchanya aneh.’"
dalam komentar tersebut Thread Starter menambahkan sebuah screenshot gambar lain yang berisi text yang harus dipaste ke program run.exe seperti berikut

Jelas sekali bahwa ini sebuah malware. mshta itu file bawaan Windows yang fungsinya untuk menjalankan command dari aplikasi HTA di environment Windows dan sering sekali dipakai oleh threat actors sebagai salah satu teknik serangan mereka 1
Baca juga: mshta.exe - Threat Actor’s Favorite Weapon
karena penasaran coba deh untuk buka isi dari link yang telah ter-copy tadi menggunakan curl

link tersebut menyisipkan script hta untuk menjalankan sebuah powershell yang mana akan menjalankan powershell lain dari sebuah url yang diencode base64, mari kita coba lihat isi file dari url yang di encode tersebut

dari script tersebut kita bisa simpulkan bahwa powershell yang tadi akan menjalankan sebuah executeable yang diambil melalui public github repositories, script powershell itu juga menjalankan PE Windows tersebut secara hidden dan sepertinya lebih ke shellloader sih sepertinya, setelah itu akan mengirimkan informasi yang dibutuhkan ke domain saaadnesss[.]shop dan akan melakukan exfiltration data yang dicuri, mari kita coba cek repo github yang diambil

terlihat repo github ini sangat baru sekali dibuat dan hanya ada 3 commits yang ada

si threat actor ini sepertinya menggunakan repo ini untuk menyimpan data-data shellcode yang akan dieksekusi, pada commit ke 2 terlihat naming yang tidak asing, seperti generate dari sliver atau command and control yang lain.

informasi dari user github ini juga tidak banyak, sepertinya memang akun ini dibuat sebagai host shellcode infostealer yang telah disiapkan
karena penasaran saya bertanya kepada Thread Starter dan dibalas oleh TS bahwa dia dapat link tersebut melalui sebuah platform chatgpt

dari jawaban chatgpt itu ternyata memberikan sebuah link referensi ke sebuah web universitas dan benar saja ternyata website itu compromised dan digunakan oleh threat actor untuk menyebarkan malware infostealer

awal loading web akan tampil seperti biasa, namun setelah beberapa saat akan berubah menjadi tampilan google reCAPTCHA dan ketika CAPTCHA akan selesai maka error akan terjadi (exptected), user lalu disuruh untuk menjalankan scirpt mshta tadi ke run.exe

sebenarnya praktik ini cukup rame beberapa waktu lalu ketika John Hammond memposting sebuah attack vector serupa 2 , yaitu fake recaptcha yang mengarahkan calon korban untuk menjalankan mshta pada sistem mereka 3, karena penasaran coba kita cek isi dari website tersebut

ternyata web ini sudah banyak terinjeksi script js, saya kurang tau bagaimana iframe recaptcha tersebut muncul namun kurang lebih pada script web3 js tersebut kemungkinan besar mengambil sebuah kontrak dan menjalankan iframe tersebut

di web itu juga banyak encrytped string dan pastinya diobfuscated sehingga tidak mudah dilakukan debugging, ya pada intinya website akademi tersebut telah diretas oleh seseorang dan dipasang sebuah script untuk menghasilkan cuan dengan menjalankan script web3 namun entah dari pemilik project web3 tersebut atau pihak lain yang menyebabkan munculnya halaman fake recaptcha tersebut
FYI ketika kita melakukan paste pada run.exe seperti tidak ada yang aneh karena string tersebut sudah dihitung jumlahnya sehingga script mshta tersebut tidak tampil dan yang tampil pada box run.exe hanya comment yang sudah dipersiapkan oleh threat actor dan membuat user percaya bahwa command tersebut seolah-olah akan melakukan aksi reset DNS Service

Berikut Indicator of Compromises yang bisa kita tambahan pada SIEM kita agar tidak ada user kita yang secara tidak sadar menjalankan malicious command tersebut IOC:
- saaadnesss[.]shop
- recaptcha-dns-d9[.]pages[.]dev
- recaptha-verify-8u[.]pages[.]dev
Lesson Learned
- User Awareness: Perlunya praktik Secure Surfing sebagai behavior yang aman dari attack vector yang langsung berhadapan denga user
- Extra Endpoint Protection: Penggunaan anti-virus yang baik dan lebih baik lagi jika sudah melakukan implementasi dengan Endpoint Detection Responses
- Drill Test: Selain itu perlu dilakukannya test secara langsung pada user untuk menguji kesiapan dari organisasi kita maupun dari sisi user itu sendri
- Monitoring: Sebagai pemilik website kita juga perlu mengamankan asset tersebut agar tidak menjadi host untuk penyebaran malware