Falešné CAPTCHA stránky používané k šíření skrytého malwaru
Bezpečnostní kontroly, kterým uživatelé důvěřují, jsou přetvořeny na pasti pro malware. Podle bezpečnostních výzkumníků z LevelBlue falešné CAPTCHA stránky vedou uživatele skrze klamný příkazový sled k instalaci skrytého StealC Information Stealer na počítačích s Windows. Jakmile je malware aktivní, dokáže sbírat přihlašovací údaje z prohlížečů, Outlooku, Steamu a kryptoměnových peněženek.
Metoda doručení malwaru
Útočníci vytvářejí stránky, které napodobují běžné ověřovací výzvy. Uživatelé se setkají se známým tokem CAPTCHA „Nejsem robot“, následovaným zdánlivě užitečnými, ale škodlivými pokyny.
- Oběti jsou vyzvány k použití klávesové zkratky Win + R k otevření dialogového okna Spustit.
- Poté jsou instruovány, aby stiskly Ctrl + V, což do dialogu vloží skrytý škodlivý kód.
- Tento kód je škodlivý PowerShell příkaz, který byl předem načten do schránky falešnou stránkou.
- Nakonec stisknutí klávesy Enter spustí příkaz a začne infekční řetězec malwaru.
Výzkumníci upozorňují, že tato metoda spoléhá na uživatelské chování a důvěryhodné vzory rozhraní, namísto zneužívání zranitelností typu zero-day. Jde tedy o behaviorální útok, nikoli o klasické zneužití softwaru.
Zaměření na krádež přihlašovacích údajů
Po instalaci se StealC malware zaměřuje na krádež přihlašovacích údajů. Cílí na hesla uložená v prohlížečích, cookies a tokeny relací, které mohou útočníkům poskytnout rychlý přístup k více službám. Kromě toho se snaží kompromitovat:
- Přihlašovací údaje k Outlooku: odhalení osobní i pracovní komunikace.
- Účty na Steamu: včetně uložených platebních údajů.
- Kryptoměnové peněženky: umožnění přímé finanční krádeže.
Tento široký rozsah cílů umožňuje útočníkům provádět další škodlivé aktivity, jako je resetování hesel pomocí ukradeného přístupu k e-mailu, páchání podvodů nebo krádež identity s využitím dat z prohlížeče a peněženky.
Pokračující vzorec
Výzkumníci zdůrazňují, že nejde o ojedinělý incident. Podobné taktiky sociálního inženýrství byly pozorovány od roku 2024, což naznačuje trvalý zájem kyberzločinců. CERT Polska hlásí „rostoucí počet útoků“ v Polsku a poukazuje na aktivní využívání infrastruktury a regionálně zaměřené cíle. Pozorované trendy naznačují, že útočníci považují tuto metodu za dostatečně účinnou pro další zdokonalování a rozšiřování.
Související kampaně zahrnují aktivitu ClickFix, kdy falešné výzvy k aktualizaci Windows doručovaly krádeže informací stejným vzorem Win + R. Dřívější případy zahrnovaly také falešné CAPTCHA stránky a podvodné aplikace, jako byl například malware Lumma Stealer. Tyto případy společně vykreslují ClickFix jako vyvíjející se útočný rámec, nikoli jako jedinou kampaň.
Odborná analýza a doporučení
Windows Central upozornila na tuto vlnu falešných CAPTCHA stránek pro běžné uživatele, zatímco bezpečnostní experti z LevelBlue poskytli podrobnou technickou analýzu mechanismů doručení a chování škodlivého kódu. CERT Polska varuje, že jediný úspěšný sled kliknutí může ohrozit celé sítě, protože tento typ útoku nevyžaduje softwarovou zranitelnost. Pouhé záplatování nemůže vyřešit základní problém.
Legitimní CAPTCHA toky nevyžadují od uživatelů otevírání dialogu Spustit nebo provádění systémových příkazů. Jakákoli stránka, která vyžaduje akce jako klávesa Windows + R, vložení textu ze schránky nebo spouštění příkazů, by měla být považována za škodlivou. Uživatelé, kteří na takové výzvy narazí, by měli:
- Okamžitě zavřít kartu a vyhnout se dokončení jakýchkoli kroků.
- Přepsat obsah schránky neškodným textem.
- Spustit kompletní bezpečnostní kontrolu, pokud byla provedena jakákoli část sekvence.
Bezpečnostní nástroje však mohou mít problém detekovat útoky založené na sociálním inženýrství v reálném čase. Útočníci využívají legitimní funkce operačního systému k obejití automatizované obrany. Proto povědomí uživatelů zůstává klíčovou obranou. Organizace by měly zahrnout tento vzorec útoku do svého bezpečnostního školení, aby zajistily, že zaměstnanci rozpoznají, že validní webové stránky nevyžadují procesy ověřování ve stylu příkazového řádku.