L’analyse publiée par Gi7w0rm relate une attaque de type FakeCaptcha qui a compromis le site légitime de l’Association Allemande pour le Droit International.
Un utilisateur a été redirigé vers une page Captcha frauduleuse, prétendant être sécurisée par Cloudflare, qui lui demandait d’exécuter une commande Powershell. Cette commande effectuait une requête Web vers un site distant (amoliera[.]com) et utilisait Invoke-Expression pour exécuter le code malveillant reçu.
L’attaque illustre une méthode où les attaquants exploitent la confiance des utilisateurs envers les Captchas, qui sont normalement conçus pour différencier les humains des bots.
Cet article est une analyse technique visant à sensibiliser sur ce type d’attaque en détaillant le processus utilisé par les attaquants.
🧠 TTP et IOC détecté
TTP
T1204.001 - User Execution: Malicious Link, T1059.001 - Command and Scripting Interpreter: PowerShell, T1105 - Ingress Tool Transfer
IOC
amoliera[.]com
🔗 Source originale : https://gi7w0rm.medium.com/hulucaptcha-an-example-of-a-fakecaptcha-framework-9f50eeeb2e6d