Παραβίαση του site iClicker στόχευσε φοιτητές μέσω CAPTCHA
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Παραβίαση του site iClicker στόχευσε φοιτητές μέσω CAPTCHA
https://www.secnews.gr/647956/paraviasi-istotopou-iclicker-stoxefse-foitites-meso-captcha/
May 12th 2025, 11:34
by Absenta Mia
Ο ιστότοπος του iClicker, μιας δημοφιλούς πλατφόρμας αλληλεπίδρασης φοιτητών, υπέστη παραβίαση από επίθεση τύπου ClickFix, η οποία χρησιμοποιούσε ένα ψεύτικο παράθυρο CAPTCHA για να εξαπατήσει φοιτητές και καθηγητές ώστε να εγκαταστήσουν κακόβουλο λογισμικό στις συσκευές τους.
Δείτε επίσης: ClickFix: Οι hackers COLDRIVER διανέμουν το malware LOSTKEYS
Το iClicker είναι θυγατρική της Macmillan και αποτελεί ένα ψηφιακό εργαλείο τάξης, που επιτρέπει στους καθηγητές να καταγράφουν τις παρουσίες, να υποβάλλουν ζωντανές ερωτήσεις ή δημοσκοπήσεις και να παρακολουθούν τη συμμετοχή των φοιτητών. Χρησιμοποιείται ευρέως από 5.000 καθηγητές και 7 εκατομμύρια φοιτητές σε κολέγια και πανεπιστήμια σε ολόκληρες τις Ηνωμένες Πολιτείες, συμπεριλαμβανομένων των Πανεπιστημίων του Μίσιγκαν, της Φλόριντα και διαφόρων ιδρυμάτων στην Καλιφόρνια.
Σύμφωνα με ειδοποίηση ασφαλείας από την ομάδα Safe Computing του Πανεπιστημίου του Μίσιγκαν, η παραβίαση του ιστότοπου iClicker έγινε μεταξύ 12 και 16 Απριλίου 2025, ώστε να εμφανίζει ένα ψεύτικο CAPTCHA που ζητούσε από τους χρήστες να πατήσουν "Δεν είμαι ρομπότ" για να επιβεβαιώσουν την ταυτότητά τους.
Ωστόσο, όταν οι επισκέπτες πατούσαν στην προτροπή επαλήθευσης, ένα σενάριο PowerShell αντιγραφόταν σιωπηλά στο πρόχειρο των Windows, στο πλαίσιο μιας επίθεσης social engineering γνωστής ως "ClickFix".
Το ψεύτικο CAPTCHA στη συνέχεια καθοδηγούσε τους χρήστες να ανοίξουν το παράθυρο "Εκτέλεση" των Windows (Win + R), να επικολλήσουν εκεί το σενάριο PowerShell (Ctrl + V) και να το εκτελέσουν πατώντας Enter για να «επαληθευτούν». Παρότι η επίθεση ClickFix δεν εκτελείται πλέον στον ιστότοπο του iClicker, ένας χρήστης στο Reddit εκτέλεσε την εντολή μέσω της πλατφόρμας Any.Run, αποκαλύπτοντας το φορτίο του PowerShell που ενεργοποιείται.
Δείτε ακόμα: Ο MintsLoader διανέμει το GhostWeaver μέσω Phishing, ClickFix
Η εντολή PowerShell που χρησιμοποιήθηκε στην επίθεση του iClicker ήταν έντονα συγκαλυμμένη, αλλά όταν εκτελούνταν, συνδεόταν με έναν απομακρυσμένο διακομιστή στη διεύθυνση http://67.217.228[.]14:8080 για να κατεβάσει και να εκτελέσει ένα δεύτερο σενάριο PowerShell. Δυστυχώς, δεν είναι γνωστό ποιο κακόβουλο λογισμικό εγκαθίστατο τελικά, καθώς το δεύτερο σενάριο διέφερε ανάλογα με τον τύπο του επισκέπτη.
Παραβίαση του site iClicker στόχευσε μαθητές μέσω CAPTCHA
Για τους στοχευμένους επισκέπτες, το σύστημα απέστελνε ένα σενάριο που κατέβαζε κακόβουλο λογισμικό στον υπολογιστή. Το Πανεπιστήμιο του Μίσιγκαν αναφέρει ότι το κακόβουλο λογισμικό επέτρεπε στον επιτιθέμενο να αποκτήσει πλήρη πρόσβαση στη μολυσμένη συσκευή.
Για όσους δεν ήταν στοχευμένοι —όπως τα sandbox περιβάλλοντα ανάλυσης κακόβουλου λογισμικού— το σενάριο κατέβαζε και εκτελούσε το αυθεντικό Microsoft Visual C++ Redistributable. Οι επιθέσεις τύπου ClickFix έχουν εξελιχθεί σε ευρέως διαδεδομένες επιθέσεις social engineering, οι οποίες έχουν χρησιμοποιηθεί σε πολλές κακόβουλες καμπάνιες, περιλαμβανομένων αυτών που προσποιούνται CAPTCHA της Cloudflare, Google Meet ή σφάλματα φυλλομετρητή.
Με βάση προηγούμενες καμπάνιες, είναι πιθανό ότι η επίθεση διέδιδε ένα εργαλείο υποκλοπής πληροφοριών (infostealer), το οποίο μπορεί να υποκλέψει cookies, διαπιστευτήρια, κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών και το ιστορικό περιήγησης από προγράμματα περιήγησης όπως Google Chrome, Microsoft Edge, Mozilla Firefox και άλλα προγράμματα βασισμένα στο Chromium.
Δείτε επίσης: Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
Ένα σχετικό και κρίσιμο σημείο με τα παραπάνω είναι ότι αυτού του είδους οι επιθέσεις βασίζονται κυρίως στην παραπλάνηση του χρήστη και όχι σε κάποιο τεχνικό κενό ασφαλείας. Δηλαδή, οι επιτιθέμενοι εκμεταλλεύονται την εμπιστοσύνη των χρηστών σε γνωστές πλατφόρμες (όπως το iClicker ή υποτιθέμενα CAPTCHA της Cloudflare) και τη συνήθη συμπεριφορά τους (π.χ. να πατούν "Δεν είμαι ρομπότ" ή να ακολουθούν οδηγίες επαλήθευσης). Αυτό δείχνει πόσο σημαντική είναι η εκπαίδευση των χρηστών σε θέματα κυβερνοασφάλειας, ειδικά στον χώρο της εκπαίδευσης, όπου φοιτητές και καθηγητές αποτελούν συχνό στόχο τέτοιων εκστρατειών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Παραβίαση του site iClicker στόχευσε φοιτητές μέσω CAPTCHA
https://www.secnews.gr/647956/paraviasi-istotopou-iclicker-stoxefse-foitites-meso-captcha/
May 12th 2025, 11:34
by Absenta Mia
Ο ιστότοπος του iClicker, μιας δημοφιλούς πλατφόρμας αλληλεπίδρασης φοιτητών, υπέστη παραβίαση από επίθεση τύπου ClickFix, η οποία χρησιμοποιούσε ένα ψεύτικο παράθυρο CAPTCHA για να εξαπατήσει φοιτητές και καθηγητές ώστε να εγκαταστήσουν κακόβουλο λογισμικό στις συσκευές τους.
Δείτε επίσης: ClickFix: Οι hackers COLDRIVER διανέμουν το malware LOSTKEYS
Το iClicker είναι θυγατρική της Macmillan και αποτελεί ένα ψηφιακό εργαλείο τάξης, που επιτρέπει στους καθηγητές να καταγράφουν τις παρουσίες, να υποβάλλουν ζωντανές ερωτήσεις ή δημοσκοπήσεις και να παρακολουθούν τη συμμετοχή των φοιτητών. Χρησιμοποιείται ευρέως από 5.000 καθηγητές και 7 εκατομμύρια φοιτητές σε κολέγια και πανεπιστήμια σε ολόκληρες τις Ηνωμένες Πολιτείες, συμπεριλαμβανομένων των Πανεπιστημίων του Μίσιγκαν, της Φλόριντα και διαφόρων ιδρυμάτων στην Καλιφόρνια.
Σύμφωνα με ειδοποίηση ασφαλείας από την ομάδα Safe Computing του Πανεπιστημίου του Μίσιγκαν, η παραβίαση του ιστότοπου iClicker έγινε μεταξύ 12 και 16 Απριλίου 2025, ώστε να εμφανίζει ένα ψεύτικο CAPTCHA που ζητούσε από τους χρήστες να πατήσουν "Δεν είμαι ρομπότ" για να επιβεβαιώσουν την ταυτότητά τους.
Ωστόσο, όταν οι επισκέπτες πατούσαν στην προτροπή επαλήθευσης, ένα σενάριο PowerShell αντιγραφόταν σιωπηλά στο πρόχειρο των Windows, στο πλαίσιο μιας επίθεσης social engineering γνωστής ως "ClickFix".
Το ψεύτικο CAPTCHA στη συνέχεια καθοδηγούσε τους χρήστες να ανοίξουν το παράθυρο "Εκτέλεση" των Windows (Win + R), να επικολλήσουν εκεί το σενάριο PowerShell (Ctrl + V) και να το εκτελέσουν πατώντας Enter για να «επαληθευτούν». Παρότι η επίθεση ClickFix δεν εκτελείται πλέον στον ιστότοπο του iClicker, ένας χρήστης στο Reddit εκτέλεσε την εντολή μέσω της πλατφόρμας Any.Run, αποκαλύπτοντας το φορτίο του PowerShell που ενεργοποιείται.
Δείτε ακόμα: Ο MintsLoader διανέμει το GhostWeaver μέσω Phishing, ClickFix
Η εντολή PowerShell που χρησιμοποιήθηκε στην επίθεση του iClicker ήταν έντονα συγκαλυμμένη, αλλά όταν εκτελούνταν, συνδεόταν με έναν απομακρυσμένο διακομιστή στη διεύθυνση http://67.217.228[.]14:8080 για να κατεβάσει και να εκτελέσει ένα δεύτερο σενάριο PowerShell. Δυστυχώς, δεν είναι γνωστό ποιο κακόβουλο λογισμικό εγκαθίστατο τελικά, καθώς το δεύτερο σενάριο διέφερε ανάλογα με τον τύπο του επισκέπτη.
Παραβίαση του site iClicker στόχευσε μαθητές μέσω CAPTCHA
Για τους στοχευμένους επισκέπτες, το σύστημα απέστελνε ένα σενάριο που κατέβαζε κακόβουλο λογισμικό στον υπολογιστή. Το Πανεπιστήμιο του Μίσιγκαν αναφέρει ότι το κακόβουλο λογισμικό επέτρεπε στον επιτιθέμενο να αποκτήσει πλήρη πρόσβαση στη μολυσμένη συσκευή.
Για όσους δεν ήταν στοχευμένοι —όπως τα sandbox περιβάλλοντα ανάλυσης κακόβουλου λογισμικού— το σενάριο κατέβαζε και εκτελούσε το αυθεντικό Microsoft Visual C++ Redistributable. Οι επιθέσεις τύπου ClickFix έχουν εξελιχθεί σε ευρέως διαδεδομένες επιθέσεις social engineering, οι οποίες έχουν χρησιμοποιηθεί σε πολλές κακόβουλες καμπάνιες, περιλαμβανομένων αυτών που προσποιούνται CAPTCHA της Cloudflare, Google Meet ή σφάλματα φυλλομετρητή.
Με βάση προηγούμενες καμπάνιες, είναι πιθανό ότι η επίθεση διέδιδε ένα εργαλείο υποκλοπής πληροφοριών (infostealer), το οποίο μπορεί να υποκλέψει cookies, διαπιστευτήρια, κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών και το ιστορικό περιήγησης από προγράμματα περιήγησης όπως Google Chrome, Microsoft Edge, Mozilla Firefox και άλλα προγράμματα βασισμένα στο Chromium.
Δείτε επίσης: Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
Ένα σχετικό και κρίσιμο σημείο με τα παραπάνω είναι ότι αυτού του είδους οι επιθέσεις βασίζονται κυρίως στην παραπλάνηση του χρήστη και όχι σε κάποιο τεχνικό κενό ασφαλείας. Δηλαδή, οι επιτιθέμενοι εκμεταλλεύονται την εμπιστοσύνη των χρηστών σε γνωστές πλατφόρμες (όπως το iClicker ή υποτιθέμενα CAPTCHA της Cloudflare) και τη συνήθη συμπεριφορά τους (π.χ. να πατούν "Δεν είμαι ρομπότ" ή να ακολουθούν οδηγίες επαλήθευσης). Αυτό δείχνει πόσο σημαντική είναι η εκπαίδευση των χρηστών σε θέματα κυβερνοασφάλειας, ειδικά στον χώρο της εκπαίδευσης, όπου φοιτητές και καθηγητές αποτελούν συχνό στόχο τέτοιων εκστρατειών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz