Kampanye malware kali ini menggunakan captcha untuk mengelabui korbannya agar bisa melewati peringatan browser dengan mengunduh trojan perbankan Gozi (alias Ursnif).
Peneliti keamanan MalwareHunterTeam membagikan URL mencurigakan dengan BleepingComputer yang mengunduh file saat mencoba menonton video YouTube tentang wanita yang dipenjara, di New Jersey.

Ketika kita mengklik tombol play/putar, browser akan secara otomatis mengunduh file dengan nama console-play.exe [VirusTotal], kemudian kita akan menemukan gambar reCaptcha palsu di layar.
Karena file ini dapat dieksekusi, Google Chrome secara otomatis memperingatkan bahwa file tersebut mungkin berbahaya dan menanyakan apakah kita ingin ‘Simpan’ atau ‘Buang’ file tersebut.
Untuk melewati peringatan ini, pelaku ancaman menunjukkan gambar reCaptcha palsu yang meminta kita untuk menekan tombol B, S, Tab, A, F dan Enter pada keyboard, seperti yang ditunjukkan di bawah ini.

Tombol B, S, A, dan F tidak ada reaksi apa-apa, namun jika menekan tombol Tab akan membuat tombol ‘Keep’ menjadi fokus, kemudian tombol ‘Enter’ akan bertindak sebagai tombol yang membuat kita mengunduh dan menyimpan file ke komputer pada browser.
Seperti yang kita lihat, captcha palsu ini adalah cara baru yang cerdas untuk mengelabui korban agar mengunduh file berbahaya yang diperingatkan oleh browser.  Setelah itu, video akan diputar secara otomatis dan berpotensi membuat pengguna berpikir bahwa ‘captcha’ yang berhasil mengizinkannya. Jika kita melakukan executable, secara otomatis akan membuat folder di bawah %AppData%\Bouncy untuk .NET Helper dan menginstal banyak file.
Semua file ini adalah umpan, selain executable BouncyDotNet.exe yang diluncurkan. Saat BouncyDotNet.exe dijalankan, akan membaca berbagai string dari Registry Windows yang digunakan untuk menjalankan perintah PowerShell.  Perintah PowerShell ini akan mengompilasi aplikasi .NET dengan kompiler CSC.exe bawaan yang meluncurkan DLL untuk trojan perbankan Ursnif. Setelah berjalan, Gozi akan mencuri akun kredensial, mengunduh malware lebih lanjut ke komputer dan menjalankan perintah yang dikeluarkan dari jarak jauh oleh pelaku ancaman. Jika kita terinfeksi Ursnif, kita harus segera mengganti kata sandi pada akun online.