CSIRTFEI
EN

Falošná captcha spustí malware

Útočníci vymysleli rafinovaný spôsob ako získať prístup do PC užívateľov a odcudziť citlivé údaje.

Vo februári minulého roku bezpečnostní analytici z Netskope Threat Labs pozorovali masívnu phishingovú kampaň. Tá sa zameriavala na užívateľov, ktorí hľadali súbory online cez internetové vyhľadávače.

Kyberzločinci využívali SEO a iné triky, aby sa dostali na prvé miesta vo vyhľadávači. Následne využili falošné odkazy aby zaviedli užívateľov na phishingové weby kde pre útok využili zaujímavý trik. Cez phishingové stránky útočníci užívateľom kradli platobné údaje alebo iné citlivé dáta.
Trik spočíva vo vytvorení falošnho capcha overenia.

Užívatelia sú privítaní obrazovkou, ktorá vyzerá ako typická obrazovka na overenie toho, či si človek alebo automatizovaný bot. Namiesto klikania na označenie obrázkov sa ale zobrazia iné inštrukcie [1].

Spravidla tento test požaduje stlačenie kombinácie klávesov pre overenie. Následne chce, aby užívateľ stlačil kombináciu kláves Win+R a Ctrl+V a potvrdil Enter.

Operácie ktoré sa týmto úkonom vykonajú:

  1. Stlač Win + R (tým sa otvorí dialógové okno "Spustiť");
  2. Stlač CTRL + V (tým sa vloží skopírovaný riadok do textového poľa);
  3. Stlač Enter (tým sa spustí zadaný príkaz).

Riadok ktorý sa skopíruje obsahuje príkaz pre spustenie powershell skriptu. PowerShell skript následne stiahne súbor EXE pre škodlivý softvér, ako je Lumma Stealer alebo Amadey Trojan. Malvér Lumma Stealer a Amadey Trojan dokážu kradnúť heslá, cookies a údaje z kryptomenových peňaženiek z používateľovho počítača.

Bezpečnostní analytici z Guardio Labs [2] registrujú a varujú pred masívnou kampaňou ktorá využíva falošné capcha overenie. Ide o ponuku na stiahnutie rôznych pdf súborov, ponúk na stiahnutie hľadaného kontextu, súborov alebo videí.

Niektoré PDF súbory hackeri nahrávajú do online knižníc, napríklad PDFCoffee, pdf4pro, pdfbean alebo internet archívov. Po stiahnutí takého pdf súboru tam nie je obsah, ktorý užívateľ stiahol, no namiesto toho obsahuje odkaz na ďalšiu stránku, kde už konečne celé PDF je dostupné. Pri kliknutí na download link, je ale užívateľ obyčajne presmerovaný podvodnú stránku ktorá pre povolením na stiahnutie požaduje overenie cez falošnú capchu. S podobným postupom sa užívatelia stretli aj pri sťahovaní z cloudfare alebo iných úložísk. (pozri obr. 3)

Pozrime sa čo sa stane stlačením kláves podrobnejšie a ako útok prebieha:

Klávesovou skratkou Win +R sa otvorí Windows okno RUN kde je možné zadať príkaz na spustenie. Pomocou skratky CTRL + V sa nakopíruje obsah ktorý sa pri otvorení web stránky nakopíroval do našej schránky.

Príkaz ktorý sa kopíruje obsahuje obyčajne tieto inštrukcie:

Iná varianta

Príkaz využíva binárny súbor MSHTA.exe na stiahnutie súboru „Ray-verify[.]html“. Výrazným faktom je, že použitie systémového nástroja MSHTA.exe vo Windows umožňuje nenápadné stiahnutie ďalšej fázy infekcie.

Názov súboru môže na prvý pohľad vyzerať úplne neškodne. Videli sme prípony ako .mp3, .mp4, .jpg, .jpeg, .swf, .html – a je pravdepodobné, že sa objavia aj ďalšie varianty.

V skutočnosti však tieto súbory obsahujú zakódovaný PowerShell príkaz, ktorý sa spustí neviditeľne na pozadí a stiahne skutočný škodlivý kód (payload).

Bežné škodlivé kódy (payloady) za útokmi označovanými ako ClickFix v súčasnosti zahŕňajú najmä:

  • LummaStealer – malvér typu MaaS (Malware-as-a-Service), ktorý kradne všetky heslá, cookies, kryptomenové peňaženky a ďalšie citlivé údaje, a následne sa sám odstráni zo systému,
  • XWorm – vzdialený prístupový trójsky kôň (RAT) napísaný v jazyku C#, so schopnosťami ako keylogging, vzdialené ovládanie zariadenia a pod. (jeho zdrojový kód unikol pred časom).
  • SecTopRAT – škodlivý softvér typu RAT (Remote Access Trojan), ktorý útočníkom umožňuje vzdialene ovládať infikovaný počítač bez vedomia obete. Hlavné funkcie Keylogging – zaznamenáva stlačené klávesy (napr. heslá, správy), Zachytávanie obrazovky a videa – monitoruje, čo sa deje na obrazovke obete, Vzdialené ovládanie – útočník môže manipulovať s počítačom na diaľku, Sťahovanie a spúšťanie ďalších malvérov, Zber dát – prihlasovacie údaje, súbory, systémové informácie. Malware beží potichu na pozadí.

Tieto škodlivé programy sú navrhnuté tak, aby kradli citlivé údaje z vášho zariadenia.

Celý flow útoku vyzerá nasledovne[4]:

V prípade ak ste sa stali obeťou takého typu útoku, vykonajte nasledovné kroky:

  1. Skontrolujte svoje najdôležitejšie účty (e-mail, sociálne siete, herné účty, bankovníctvo):

    • Prihláste sa z čistého zariadenia.
    • Použite možnosť „Odhlásiť zo všetkých zariadení“.
    • Zmeňte heslá a skontrolujte nastavenia dvojfaktorovej autentifikácie (2FA).

  2. Ak máte kryptomeny uložené v peňaženkách na infikovanom PC:

    • Okamžite ich presuňte do nových peňaženiek.
    • Skontrolujte, či si pri vkladaní správne skopírovali adresy.
    • Staré peňaženky už nikdy nepoužívajte.

  3. Preskenujte počítač detekčným nástrojom:

    • Použite nástroje ako Malwarebytes, Sophos Scan & Clean, alebo ESET Online Scanner.
    • Nezabudnite aktualizovať ich databázy pred skenovaním.

Zapamätajte si[5]:

  • Legitímne CAPTCHA stránky sa zvyčajne nachádzajú na webových stránkach, ktoré vyžadujú overenie používateľa, ako sú prihlasovacie alebo registračné stránky.
  • Buďte opatrní pri CAPTCHA stránkach, ktoré sa objavia na neočakávaných webstránkach alebo v aplikáciách.
  • Vždy si overte URL adresu webovej stránky, aby ste sa uistili, že ide o dôveryhodný zdroj.
  • Pravidelne aktualizujte softvér a operačný systém, aby ste opravili zraniteľnosti, ktoré by mohli byť zneužité škodlivým softvérom.

Ak navštívite stránku, kde sa zobrazí falošná CAPTCHA:

  • Urobte snímku obrazovky (screenshot) CAPTCHA a nahláste navštívenú stránku na adresu [email protected].
  • Ak ste sa na stránku dostali kliknutím na odkaz v e-maile, prepošlite daný e-mail tiež na [email protected].

[1] Richard Zliechovský, POZOR na tieto falošné CAPTCHA testy. Ak sa necháš nachytať, hackeri ti môžu vybieliť účet!, 2025-03-08, https://vosveteit.zoznam.sk/pozor-na-tieto-falosne-captcha-testy-ak-sa-nechas-nachytat-hackeri-ti-mozu-vybielit-ucet/
[2] Nati Tall, Fake Captcha Driving Infostealer Infections and a Glimpse to the Dark Side of Internet Advertising, 2024-12-16, https://guard.io/labs/deceptionads-fake-captcha-driving-infostealer-infections-and-a-glimpse-to-the-dark-side-of
[3] Pieter Arntz, Fake CAPTCHA websites hijack your clipboard to install information stealers, 2025-03-10, https://www.malwarebytes.com/blog/news/2025/03/fake-captcha-websites-hijack-your-clipboard-to-install-information-stealers
[4] Leandro Fróes, Lumma Stealer: Fake CAPTCHAs & New Techniques to Evade Detection, 2025-01-23, https://www.netskope.com/blog/lumma-stealer-fake-captchas-new-techniques-to-evade-detection
[5] Fake CAPTCHA initiates malware, 2024-12-10, https://safecomputing.umich.edu/security-alerts/fake-captcha-initiates-malware

Ilkovičova 3, 841 04 Bratislava - Karlova Ves

csirt.fei@stuba.sk

© 2025 CSIRT FEI