威胁行为者正利用虚假的验证码（CAPTCHA）和 CloudFlare Turnstile 来分发 LegionLoader 恶意软件，最终导致一个旨在窃取用户敏感数据的恶意浏览器扩展程序被安装。

自 2025 年 2 月以来，Netskope Threat Labs 一直在追踪这一攻击活动，揭示了一个复杂的感染链条，该感染链针对在线搜索 PDF 文档的个人。

攻击始于受害者被搜索引擎结果所引诱，打开的一个包含虚假验证码的 PDF 文档。

当用户点击该验证码时，会通过一系列涉及 Cloudflare Turnstile 验证码和浏览器通知请求的步骤被重定向。

如果受害者同意接收通知，他们会被进一步引导去下载看似是他们正在寻找的文档。然而，这个过程是一个诡计，目的是执行一个下载 MSI 安装程序的命令。

当执行这个 MSI 文件时，会注册一个名为 “Kilo Verfair Tools” 的应用程序，该应用程序包含几个自定义操作。其中一个操作会启动 SumatraPDF（一款合法的文档查看器），以维持正在查看文档的假象。

虚假验证码

然而，其真正目的是执行一个名为 “logd.bat” 的批处理脚本，该脚本从一个存档中提取 DLL 文件，并运行一个使用 VMWare 证书签名的文件，从而启动恶意软件感染过程。

虚假验证码和 CloudFlare Turnstile

这个恶意的 DLL 文件伪装成一个合法的 OpenSSL 库，对 LegionLoader 的有效负载进行解码并执行。这个有效负载使用一种自定义算法对 shellcode 进行去混淆处理，并采用诸如 API Hammering 等技术来逃避检测。

然后，shellcode 使用Process Hollowing，将最终的有效负载解密并加载到一个新创建的 “explorer.exe” 进程中。

一旦 LegionLoader 被激活，它会下载并执行一个 PowerShell 脚本。这个脚本要经过多层去混淆处理，包括 Base64 解码和异或（XOR）解密，以检索并执行另一个有效负载。

第二阶段涉及进一步的混淆和去解密操作，最终导致安装一个恶意的浏览器扩展程序。

这个名为 “保存到谷歌云端硬盘（Save to Google Drive）” 的扩展程序模仿了一个合法的Google 服务，但实际上是被设计用来窃取敏感信息的。

它针对多种浏览器，如 Google Chrome、Microsoft Edge、Brave 和 Opera，为自己授予了广泛的权限来访问用户数据，包括 Cookie、浏览历史记录，甚至可以监控比特币相关活动。然后，这些数据会被泄露给攻击者。

Netskope Threat Labs 已经确定了这一攻击活动的几个迹象，包括使用虚假验证码、Cloudflare Turnstile，以及分发会导致安装 LegionLoader 的 MSI 文件。

他们已向各种网络托管服务报告了这些恶意 URL，并通过其高级威胁防护功能对这一威胁提供了主动防护。

这一攻击活动突显了网络犯罪分子不断演变的策略，他们利用像文档搜索这样的日常在线活动来传播恶意软件。

建议用户在面对验证码和浏览器通知时保持谨慎，尤其是在从未知来源下载文件的时候。

Netskope 将继续监控这些威胁，并强调实施强大的网络安全措施以防范此类复杂攻击的重要性。