據(jù)外媒報(bào)道，一個(gè)新出現(xiàn)的惡意軟件活動(dòng)用虛假谷歌reCAPTCHA驗(yàn)證碼發(fā)送惡意軟件，該活動(dòng)的主要攻擊對(duì)象是波蘭的一家銀行。

Sucuri（一家網(wǎng)絡(luò)安全公司）的安全研究人員發(fā)現(xiàn)了這個(gè)復(fù)雜的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，活動(dòng)使用了偽裝和恐慌/誘餌技術(shù)。

惡意軟件感染從最近交易的虛假確認(rèn)回執(zhí)開(kāi)始，該回執(zhí)包含了到惡意PHP文件的鏈接。

一般情況下，釣魚(yú)郵件包含一個(gè)獲取用戶(hù)登錄信息的日志，但此次惡意軟件活動(dòng)提供了一個(gè)虛假的404錯(cuò)誤頁(yè)面來(lái)跟蹤受害者的用戶(hù)代理。

一旦用戶(hù)代理被過(guò)濾，PHP代碼就會(huì)加載一個(gè)依賴(lài)于靜態(tài)元素的偽谷歌驗(yàn)證碼。PHP根據(jù)用戶(hù)代理決定在受害者的機(jī)器上放置哪些惡意軟件。

惡意頁(yè)面會(huì)根據(jù)訪(fǎng)問(wèn)者的設(shè)備使用user-agent.zip dropper或惡意的apk文件。如果檢測(cè)到是安卓設(shè)備，那么它將下載apk文件，否則它下載zip文件。

一旦安裝在設(shè)備上，惡意軟件就會(huì)開(kāi)始通過(guò)短信攔截2FA獲取登錄憑證。

Sucuri在博客中寫(xiě)道，他們發(fā)現(xiàn)爬蟲(chóng)僅和谷歌相關(guān)，所以使用其他搜索引擎的用戶(hù)不必?fù)?dān)心這個(gè)問(wèn)題。