Хакерите използваха фалшиви страници с CAPTCHA за разпространение на зловреден софтуер в Windows

Как злоумышленниците използват фалшиви страници с CAPTCHA

Нови изследователи откриха уязвимост, която позволява на хакери да измамят потребители на Windows и да ги принудят да стартират зловреден скрипт PowerShell. Скрипта, наречен Stealthy StealC Information Stealer, краде данни от браузъра, пароли за криптовалутни портфейли, акаунти в Steam и Outlook, а след това изпраща всичко това заедно със скрийншоти към сървър за управление.

Какво се случва по време на атаката?
1. Фалшиви страници с CAPTCHA

Хакерите поставят фалшив интерфейс за проверка, който изглежда като обикновена страница с CAPTCHA. На тези страници потребителят вижда „заявка“ да натисне комбинацията клавиши Windows + R (отваряне на диалогов прозорец „Изпълни“) и след това Ctrl + V (вмъкване от буфера).

2. Стартиране на PowerShell от буфера

В буфера за обмен предварително се зарежда изпълним скрипт PowerShell. Потребителят, следвайки инструкциите, го стартира ръчно, без да подозира зловредния характер на командата.

3. Изтегляне и разпространение на кода

След стартирането скриптът се свързва с отдалечен сървър и изтегля допълнителен зловреден код. Трафикът е криптиран със протокола RC4, което затруднява откриването му от стандартните средства за сигурност.

Защо това е опасно?
- Преодоляване на традиционните защити – обичайните механизми за блокиране на изтегляне на файлове може да не работят, тъй като скриптът вече е стартиран в системата.

- Широк спектър от крадени данни – от браузърни пароли до криптовалутни ключове и акаунти в популярни услуги.

- Невидимост за потребителя – действието изглежда като обикновена проверка на сигурността, а не като стартиране на зловреден софтуер.

Как да се защитите?
Мярка | Какво прави
---|---
Ограничаване на използването на PowerShell | Настройте политики, които забраняват изпълнението на скриптове без подпис.
Контрол на приложенията в Windows | Активирайте AppLocker или подобна система за контрол на изпълнение на програми.
Мониторинг на изходящия трафик | Следете подозрителни връзки (например HTTP-трафик, криптиран с RC4) и ги блокирайте.

Следвайки тези препоръки можете значително да намалите риска от това потребителят да стане жертва на такава атака.