Source et contexte: Censys publie une recherche approfondie sur l’écosystème « Fake Captcha » et la tendance « Living Off the Web », basée sur un corpus de 9 494 actifs web et une méthodologie de rendu/screenshot et de pHash pour regrouper les leurres visuels.

• Paysage visuel et méthodologie. Les pages imitant des vérifications (souvent de style Cloudflare) sont regroupées par perceptual hashing sur des captures d’écran (seuil de distance de Hamming = 6). Le « Cluster visuel 0 » regroupe 6 686/9 494 endpoints (~70%). Malgré une forte uniformité visuelle (favicons du site hôte inclus, parfois déformés), Censys souligne que la similarité visuelle n’implique ni infrastructure partagée, ni mêmes charges utiles, ni mêmes opérateurs. 19,90% des actifs n’ont pu être confirmés visuellement (erreurs, fingerprinting du headless, contenu conditionnel).

• Exécution: des modèles incompatibles derrière la même interface. Sur 5 441 actifs du Cluster 0 avec comportement extractible (85,6%), Censys observe 32 variantes de payload au travers de modèles hétérogènes:

  • Clipboard-driven: VBScript (1 706), PowerShell DownloadFile (1 269), PowerShell obfusqué (252), autres faibles volumes (BAT, MSHTA URL-encodé, PowerShell base64).
  • MSIEXEC (1 212): livraison via packages MSI, hébergés sur des domaines compromis sous des chemins « vérification ».
  • Server-driven / Push (1 281): modèle « Matrix Push C2 » où la page sert d’étape de conversion pour obtenir l’opt-in aux notifications navigateur; la livraison est différée et fileless, sans artefact client immédiat. L’interface est fournie par un backend avec templates (Cloudflare-like, reCAPTCHA-like), script d’intégration Notifications.js et redirection post-opt-in.

• Infrastructure: réutilisation spécialisée, peu de recouvrement. Chaque technique s’appuie sur des pools distincts:

  • VBScript: serveurs high-port (ex. 95[.]164.53[.]115:5506, 78[.]40[.]209[.]164:5506).
  • PowerShell: domaines sans lien avec VBScript (ex. ghost.nestdns.com, penguinpublishers.org).
  • MSI: domaines compromis hébergeant des installateurs sous des chemins « vérification ».
  • Matrix Push C2: infrastructure distincte (ex. matrix.cymru) et canal de notification du navigateur.

• Implications clés. Les détections centrées sur le presse-papiers ou un artefact unique manquent les modèles server-driven/fileless. Les signaux plus durables se situent au niveau de l’interface et du contexte: enchaînements « vérification » → demande de notifications, réutilisation de lures de « browser check », corrélations réseau en aval. Censys intègre un « screenshot-at-fingerprint » pour conserver l’artefact d’interface. Conclusion: l’uniformité visuelle a dépassé l’unité opérationnelle; l’interface de confiance devient la surface d’attaque. Cet article est une publication de recherche visant à cartographier l’écosystème Fake Captcha et ses chaînes de livraison divergentes.

• IOCs (sélection)

  • IP: 95.164.53.115:5506, 78.40.209.164:5506
  • Domaines/Infra: ghost.nestdns.com, penguinpublishers.org, matrix.cymru
  • Fichier/Script: Notifications.js

• TTPs observés

  • Leurres d’ingénierie sociale de type « vérification navigateur »/Captcha style Cloudflare.
  • Exécution via presse-papiers: commandes VBScript/PowerShell, BAT, MSHTA, PowerShell base64/obfusqué.
  • Livraison par MSI (msiexec) depuis domaines compromis.
  • Livraison server-driven/fileless via notifications navigateur (opt-in, push différé), service workers/abonnements push.
  • Fingerprinting headless, JS dynamique/obfusqué, redirections post-opt-in, clustering par pHash sur screenshots.

🧠 TTPs et IOCs détectés

TTP

[‘Leurres d’ingénierie sociale de type « vérification navigateur »/Captcha style Cloudflare’, ‘Exécution via presse-papiers: commandes VBScript/PowerShell, BAT, MSHTA, PowerShell base64/obfusqué’, ‘Livraison par MSI (msiexec) depuis domaines compromis’, ‘Livraison server-driven/fileless via notifications navigateur (opt-in, push différé), service workers/abonnements push’, ‘Fingerprinting headless, JS dynamique/obfusqué, redirections post-opt-in’, ‘Clustering par pHash sur screenshots’]

IOC

{‘ip’: [‘95.164.53.115:5506’, ‘78.40.209.164:5506’], ‘domain’: [‘ghost.nestdns.com’, ‘penguinpublishers.org’, ‘matrix.cymru’], ‘file/script’: [‘Notifications.js’]}

🔗 Source originale : https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface