Hakerzy używali fałszywych stron CAPTCHA do rozpowszechniania złośliwego oprogramowania na systemy Windows

Jak cyberprzestępcy wykorzystują fałszywe strony CAPTCHA

Niedawni badacze odkryli lukę, która pozwala hakerom oszukać użytkowników Windows i zmusić ich do uruchomienia złośliwego skryptu PowerShell. Skrypt o nazwie Stealthy StealC Information Stealer kradnie dane z przeglądarki, hasła do portfeli kryptowalutowych, kont Steam i Outlook, a następnie wysyła wszystko to wraz ze zrzutami ekranu na serwer zarządzający.

Co dzieje się w trakcie ataku?
1. Fałszywe strony CAPTCHA

Hakerzy umieszczają podszywający się interfejs weryfikacji, który wygląda jak zwykła strona z CAPTCHA. Na tych stronach użytkownik widzi „prośbę” o naciśnięcie kombinacji klawiszy Windows + R (otworzenie okna Uruchom) i następnie Ctrl + V (wklejenie ze schowka).

2. Uruchamianie PowerShell z pamięci podręcznej

Do schowka wstępnie ładowany jest wykonywalny skrypt PowerShell. Użytkownik, postępując zgodnie z instrukcją, uruchamia go ręcznie, nie podejrzewając jego złośliwego charakteru.

3. Pobieranie i rozpowszechnianie kodu

Po uruchomieniu skrypt łączy się z zdalnym serwerem i pobiera dodatkowy złośliwy kod. Ruch sieciowy jest szyfrowany protokołem RC4, co utrudnia jego wykrycie standardowymi środkami bezpieczeństwa.

Dlaczego to niebezpieczne?
- Ominięcie tradycyjnych zabezpieczeń – zwykłe mechanizmy blokowania pobierania plików mogą nie zadziałać, ponieważ skrypt jest już uruchomiony w systemie.
- Szeroki zakres skradzionych danych – od haseł przeglądarkowych po klucze kryptowalutowe i konta popularnych serwisów.
- Niewidoczność dla użytkownika – działanie wygląda jak zwykła weryfikacja bezpieczeństwa, a nie uruchomienie złośliwego oprogramowania.

Jak się chronić?
Co robić | Co to jest
---|---
Ograniczenie użycia PowerShell | Ustaw polityki zabraniające wykonywania skryptów bez podpisu.
Kontrola aplikacji Windows | Włącz AppLocker lub podobny system kontroli uruchamiania programów.
Monitorowanie ruchu wychodzącego | Śledź podejrzane połączenia (np. ruch HTTP zaszyfrowany RC4) i blokuj je.

Stosując się do tych zaleceń, można znacznie zmniejszyć ryzyko, że użytkownik stanie się ofiarą takiego ataku.