Šta se desilo?

Otkrivena je nova kampanja napada koja koristi lažne CAPTCHA stranice da bi zarazila Windows računare. Napad kombinuje tri tehnike - lažnu stranicu sa WordPress-a, blockchain metodu za skrivanje koda (EtherHiding) i socialni inžinjering (ClickFix) kako bi konačno učitala GULoader, memorijski malver. Kampanja počinje kada korisnik slučajno poseti zaraženi sajt kroz Google pretragu, a ceo proces je dizajniran da izgleda potpuno legitimno.

Kako funkcioniše napad?

Kada korisnik stigne na zaraženu stranicu, JavaScript kod u pozadini kontaktira blockchain mrežu (BNB Smart Chain Testnet) i preuzima zlonamerni kod iz pametnog ugovora. Nakon toga, korisniku se prikazuje lažna reCAPTCHA koja ga traži da pritisne Win+R, Ctrl+V i Enter - kombinacija tipki koja otvaraWindows Run dijalog i lepljenje naredbe. Korisnik ne zna da je njegov clipboard već učitan sa malicioznom naredbom, pa naivno izvršava komandu. Ta naredba koristi rundll32.exe, potpisani Windows alat, koji učitava DLL datoteku direktno u memoriju bez pisanja na disk, zaobilazeći antivirus zaštitu.

Koga pogađa?

Napad je ciljan na Windows korisnike koji koriste stolne računare. Kampanja je aktivna od aprila 2026. godine, a posebno je opasnа jer napada sve korisnike koji slučajno naiđu na zaraženi sajt - nije potrebna prenosivost preko fišing e-pošte ili sumnjivih linkova. Zaraženi sajtovi su mali evropski biznisi čiji je WordPress backend kompromitovan.

Koga štiti lažna pretraga?

Kampanja je dizajnirana da izbegne detekciju - mobilni korisnici i sigurnosni skenerи vide potpuno čist sajt, što čini napad gotovo nevidljivim rutinskim provjerama. Samo pravi Windows korisnik na stolnom računaru aktivira zlonamerni kod.

Kako se zaštititi?

  • Blokirajte odlazni SMB saobraćaj na portu 445 na vašoj mreži
  • Razmislite o onemogućavanju WebClient servisa na radnim stanicama koje ne trebaju WebDAV
  • Prati DNS upite ka blockchain RPC domenama iz procesa pregledača
  • Redovno proveravaj istoriju Windows Run dijaloga za rundll32 ili UNC putanje
  • Ažuriraj Windows i sve softvere na najnovije verzije
  • Koristi napredne alate za detekciju ponašanja (behavioral detection)
  • Ograniči izvršavanje unsigned DLL datoteka preko rundll32.exe

Tehnički detalji

Kampanja koristi više IoC indikatora: C2 domen autum-path[.]vo8xalon[.]in[.]net je pripisana GULoader-u. IP adrese 188[.]114[.]96[.]7 i 188[.]114[.]97[.]7 su Cloudflare proxy serveri koji rešavaju GULoader C2. BNB Smart Chain Testnet RPC endpointi (bsc-testnet[.]drpc[.]org i data-seed-prebsc-1-s1[.]bnbchain[.]org) se koriste za preuzimanje payload-a. Maliciozna UNC putanja je \autum-path[.]vo8xalon[.]in[.]net\05fe317c-0981-4de2-bc8a-930d369db441\ck-3d. SHA-256 heš: 172a25a9ed8b798d8baeec29424b46627b5b39723b37c787f928d3700509001e. MD5 heš: 236e1bef618edfe7f7c29ee2b4cba620. U ovom slučaju je bihejvioralna detekcija zaustavila napad za manje od 300 milisekundi pre nego što je GULoader mogao biti učitan.

Preporuka Sajber Radara

Ova kampanja pokazuje kako savremeni napadači kombinuju blockchain tehnologiju sa socijalnim inžinjeringom kako bi zaobišli tradicionalne odbrane. Organizacije moraju da pojačaju monitoring na nivou izvršavanja procesa i da edukuju korisnike da budu skeptični prema bilo kom zahtjevu koji uključuje ručno pokretanje komandi.