Хакеры использовали фальшивые CAPTCHA‑страницы для распространения вредоносного ПО на Windows

Как злоумышленники используют поддельные CAPTCHA‑страницы

Новые исследователи обнаружили уязвимость, которая позволяет хакерам обмануть пользователей Windows и заставить их запустить вредоносный скрипт PowerShell. Скрипт, названный Stealthy StealC Information Stealer, крадет данные из браузера, пароли к криптовалютным кошелькам, учетные записи Steam и Outlook, а затем отправляет всё это вместе со снимками экрана на сервер управления.

Что происходит в процессе атаки?

1. Фальшивые CAPTCHA‑страницы
Хакеры размещают поддельный интерфейс проверки, который выглядит как обычная страница с CAPTCHA. На этих страницах пользователь видит «запрос» нажать сочетание клавиш Windows + R (открыть диалог «Выполнить») и затем Ctrl + V (вставить из буфера).

2. Запуск PowerShell из буфера
В буфер обмена заранее загружается исполняемый скрипт PowerShell. Пользователь, следуя инструкции, запускает его вручную, не подозревая о вредоносном характере команды.

3. Скачивание и распространение кода
После запуска скрипт подключается к удалённому серверу и загружает дополнительный вредоносный код. Трафик шифруется протоколом RC4, что затрудняет его обнаружение стандартными средствами безопасности.

Почему это опасно?

- Обход традиционных защит – обычные механизмы блокировки загрузки файлов могут не сработать, поскольку скрипт уже запущен в системе.
- Широкий спектр украденных данных – от браузерных паролей до криптовалютных ключей и учетных записей популярных сервисов.
- Незаметность для пользователя – действие выглядит как обычная проверка безопасности, а не как запуск вредоносного ПО.

Как защититься?

Следуя этим рекомендациям, можно существенно снизить риск того, что пользователь станет жертвой такой атаки.