A hackerek hamis CAPTCHA‑oldalakat használtak a rosszindulatú szoftver terjesztésére Windows rendszereken

Hogyan használják a támadók hamis CAPTCHA‑oldalakat

Új kutatók felfedeztek egy sebezhetőséget, amely lehetővé teszi a hackerek számára, hogy megtévessék a Windows‑felhasználókat és rávegyék őket arra, hogy futtassák a rosszindulatú PowerShell‑szkriptet. A Stealthy StealC Information Stealer nevű szkript böngészőből, kriptovaluta pénztárca jelszavakból, Steam- és Outlook-fiókokból lop adatokat, majd mindezt képernyőképekkel együtt elküldi a vezérlő szerverre.

Mi történik a támadás során?
1. Hamis CAPTCHA‑oldalak

A hackerek egy hamis ellenőrzési felületet helyeznek el, amely úgy néz ki, mint egy szokásos CAPTCHA‑oldal. Ezeken az oldalakon a felhasználó látja a „kérés” gombot: nyomja meg a Windows + R billentyűkombinációt (a Futtatás párbeszédablak megnyitása) és aztán Ctrl + V-t (beillesztés a vágólapról).

2. PowerShell indítása a vágólapról

A vágólapra előre letöltött egy futtatható PowerShell‑szkript kerül. A felhasználó, követve az utasítást, manuálisan indítja el, nem észlelve a rosszindulatú parancsot.

3. Kód letöltése és terjesztése

A szkript futtatása után kapcsolódik egy távoli szerverhez és további rosszindulatú kódot tölt le. Az adatforgalom RC4 protokollal van titkosítva, ami megnehezíti a felfedezést a hagyományos biztonsági eszközökkel.

Miért veszélyes?
- A hagyományos védelmek megkerülése – a fájlletöltés blokkoló mechanizmusok nem működhetnek, mert a szkript már fut a rendszerben.
- Az ellopott adatok széles skálája – böngészőjelszavaktól kezdve kriptovaluta kulcsokon át a népszerű szolgáltatások fiókjáig.
- Felhasználó számára észrevehetetlen – a tevékenység egy szokásos biztonsági ellenőrzésnek tűnik, nem pedig rosszindulatú szoftver futtatása.

Hogyan védekezzünk?
Mérséklet | Mit csinál
---|---
PowerShell használatának korlátozása | Állítsunk be politikákat, amelyek tiltják a digitális aláírás nélküli szkriptek futtatását.
Windows alkalmazásvezérlés | Engedélyezzük az AppLocker vagy hasonló programfuttatás‑ellenőrző rendszert.
Kimenő forgalom monitorozása | Kövessük nyomon a gyanús kapcsolódásokat (pl. RC4-vel titkosított HTTP‑forgalmat) és blokkoljuk őket.

Ezeknek a javaslatoknak a betartásával jelentősen csökkenthetjük annak kockázatát, hogy a felhasználó áldozata legyen egy ilyen támadásnak.