האקרים השתמשו בדפי CAPTCHAs מזויפים כדי להפיץ תוכנות זדוניות ל-Windows

איך האקרים משתמשים בדפי CAPTCHA מזויפים

חוקרים חדשים גילו פגיעות שמאפשרת לוחצים להונות משתמשי Windows ולהשיג מהם להריץ סקריפט PowerShell זדוני. הסקריפט, שנקרא Stealthy StealC Information Stealer, גונב נתונים מהדפדפן, סיסמאות למטבעות קריפטוגרפיים, חשבונות Steam ו-Outlook, ואז שולח את הכול יחד עם צילומי מסך לשרת שליטה.

מה קורה בתהליך ההתקפה?
1. דפי CAPTCHA מזויפים

האקרים מפרסמים ממשק אימות מזויף שמראה כמו עמוד רגיל עם CAPTCHA. בדפים אלה המשתמש רואה בקשה ללחוץ את שילוב המפתחות Windows + R (לפתוח את תיבת הדו־שיח "בצע") ולאחר מכן Ctrl + V (הדבק מהזיכרון).

2. הפעלת PowerShell מהזיכרון

לפני כן, בזיכרון העתקה נטען סקריפט PowerShell רץ. המשתמש, לפי ההוראות, מפעיל אותו ידנית, בלי לדעת את הטבע הזדוני של הפקודה.

3. הורדה והפצה של קוד

לאחר הריצה, הסקריפט מתחבר לשרת מרוחק ומוריד קוד זדוני נוסף. התנועה מוצפנת בפרוטוקול RC4, מה שמקשה על גילויו באמצעים אבטחה סטנדרטיים.

למה זה מסוכן?
- עקיפה של הגנות truyền thống – מנגנונים רגילים לחסימת הורדת קבצים עשויים שלא לפעול, מכיוון שהסקריפט כבר רץ במערכת.

- טווח רחב של נתונים שנגנבים – ממילות סיסמה בדפדפן ועד מפתחות קריפטו וחשבונות שירותים פופולריים.

- חוסר ניכרות למשתמש – הפעולה נראית כמו בדיקה אבטחה רגילה, ולא כהרצת תוכנה זדונית.

איך להגן?
הגבלה של שימוש ב‑PowerShell
להגדיר מדיניות המונעת הרצת סקריפטים ללא חתימה.
בקרה על יישומי Windows
להפעיל AppLocker או מערכת דומה לבקרה על ביצוע תכנות.
ניטור התעבורה היוצאת
לנטר חיבורים חשודים (לדוגמה, HTTP‑תנועה מוצפנת ב‑RC4) ולחסום אותם.

על ידי עמידה בהמלצות אלה ניתן לצמצם משמעותית את הסיכון שהמשתמש יהפוך למטרה של התקפה כזו.