Киберпреступники разработали новую изощренную схему заражения компьютеров, эксплуатируя доверие пользователей к системам CAPTCHA. Под видом стандартной проверки «Я не робот» злоумышленники распространяют вредоносное ПО, заставляя пользователей самих запускать вредоносный код.
Новая киберугроза: мошенники взламывают компьютеры через поддельные капчи
Эксперты обнаружили новую хакерскую схему, жертвами которой могут стать даже опытные пользователи.
Unsplash
Компании, специализирующиеся на кибербезопасности, такие как Netskope Threat Labs, ReliaQuest и Malwarebytes, уже зафиксировали рост числа подобных атак и предупреждают о потенциальной опасности.
Как правило, атака начинается с фишингового письма или сообщения. Например, разработчику программного обеспечения может прийти уведомление о якобы обнаруженной уязвимости в его проекте с предложением перейти по ссылке для получения подробной информации. Аналогичные ловушки могут быть расставлены и на других ресурсах, например, на сайтах, предлагающих скачать пиратское ПО или просмотреть обучающие видео.
Перейдя по ссылке, пользователь попадает на страницу с поддельной CAPTCHA. Вместо стандартных заданий, таких как выбор картинок или ввод текста, жертве предлагается выполнить ряд действий на своем компьютере. Например, нажать комбинацию клавиш Windows+R, вставить скопированный код (Ctrl+V) и нажать Enter.
В этот момент происходит самое интересное: сайт, используя JavaScript, незаметно копирует вредоносную команду в буфер обмена пользователя. Современные браузеры, особенно на базе Chromium, позволяют сайтам записывать информацию в буфер обмена с разрешения пользователя. В данном случае это разрешение хитростью подменяется галочкой «Я не робот».
Когда пользователь следует инструкции и нажимает Windows+R, он открывает окно «Выполнить». Вставляя скопированный код (Ctrl+V) и нажимая Enter, он фактически запускает команду mshta. Эта команда загружает с удаленного сервера вредоносный файл, часто замаскированный под безобидный медиафайл (MP3, MP4). Внутри этого файла скрывается закодированная команда PowerShell, которая извлекает и запускает настоящую вредоносную программу.
Среди вредоносных программ, распространяемых таким способом, особую опасность представляют Lumma Stealer и SecTopRAT. Lumma Stealer – это стилер, предназначенный для кражи конфиденциальной информации, такой как пароли, данные кредитных карт, информация о криптовалютных кошельках и другие финансовые данные.
SecTopRAT же предоставляет злоумышленникам удаленный доступ к зараженному компьютеру. Это позволяет им полностью контролировать систему, красть любые данные, устанавливать дополнительное вредоносное ПО и использовать компьютер жертвы для своих целей.
Как же защититься от этой новой угрозы? Прежде всего, помнить: настоящая CAPTCHA никогда не попросит выполнять команды на компьютере. Если вы видите подобные инструкции, это однозначный признак мошенничества.
Также надо обратить внимание на сообщения об ошибках проверки с предложениями скопировать скрипт или установить какой-то сертификат – это еще один тревожный сигнал. Злоумышленники могут пытаться замаскировать вредоносный код, заменяя его изображением смайлика или галочки, но суть от этого не меняется.
Не менее важно использовать надежное антивирусное ПО, которое поможет обнаружить и заблокировать вредоносные программы и скрипты. Также рекомендуется установить расширения браузера, которые блокируют известные мошеннические домены. Отключение сохранения паролей в браузерах поможет предотвратить кражу учетных данных в случае заражения. И, конечно же, никогда не надо забывать про двухфакторную аутентификацию для всех важных аккаунтов.