Фальшивые CAPTCHA и кампания StealC — как хакеры заставляют пользователей Windows запускать кражу данных

Хакеры научились превращать «Я не робот» в вектор атаки, нацеленный на конфиденциальные данные.

hacker doing computer sabotage using encryption trojan ransomware in hidden base. — (Источник изображения: Getty Images)

Злоумышленники нашли уязвимость, позволяющую подменять страницы CAPTCHA и вводить пользователей Windows в заблуждение, чтобы те сами запускали вредоносную программу «Stealthy StealC Information Stealer».

По данным исследователей LevelBlue, «StealC извлекает из браузеров учётные данные, кошельки криптовалют, аккаунты Steam, учётные данные Outlook, сведения о системе и скриншоты, отправляя их на сервер команд и управления (C2) по HTTP-трафику, зашифрованному RC4». (Steam, Outlook и большинство криптокошельков — сервисы, используемые и в России.)

Кампания социальной инженерии опирается на поддельные страницы CAPTCHA, размещённые на взломанных сайтах; они выглядят как аутентичная проверка в стиле Cloudflare (Cloudflare — глобальная платформа, обычно доступная и в России). В результате ничего не подозревающие пользователи Windows вручную выполняют вредоносные PowerShell-команды, маскирующиеся под процедуру верификации (источник: TechRepublic).

Хотя сама идея CAPTCHA порой может казаться абстрактной, в эпоху ИИ подтверждение, что за устройством — человек, а не бот, приобрело критическое значение. CAPTCHA созданы для защиты от спама и от попыток автоматического подбора паролей.

Как злоумышленники реализуют кампанию StealC

A scene of a hacker engaging in cybersecurity breaches using advanced technology and devices in a dimly lit environment. — (Источник изображения: Getty Images | Witthaya Prasongsin)

В общем и целом, чтобы снизить риски, рекомендуется внимательно относиться к тому, какие сайты посещаются — но злоумышленники всё чаще применяют более изощрённые методы.

Например, в кампании StealC пользователю предлагают посетить, на первый взгляд, легитимный сайт, который уже был скомпрометирован: злоумышленники внедряют вредоносный JavaScript, который загружает поддельную страницу CAPTCHA, визуально почти неотличимую от настоящей проверки.

Вместо привычного визуального теста поддельная страница просит пользователя выполнить последовательность клавиш: нажать клавишу Windows + R, затем Ctrl + V и в конце — Enter, представляя это как стандартную процедуру верификации.

Зачем это важно и что читатель получает из этой новости

Понимание этой схемы помогает вовремя распознать новый тип социальной инженерии. Поддельные CAPTCHA на первый взгляд выглядят безопасно, но их цель — заставить человека вручную выполнить команды, которые открывают доступ к системе или запускают кражу данных. Осведомлённость сокращает вероятность случайного запуска вредоносного кода и предотвращает потерю учётных данных, средств в криптокошельках и доступа к учётным записям (Steam, Outlook и пр.).

Практическая польза материала для пользователя:

Понимание вектора атаки: теперь ясно, что проверочные страницы тоже могут быть инструментом хакеров.
Конкретный признак опасности: просьбы вручную нажать сочетания клавиш или вставить команду — серьёзный повод для подозрений.
Рекомендации для защиты: не выполнять незнакомые инструкции, проверять URL и целостность сайта, использовать надёжное антивирусное ПО и ограничивать привилегии PowerShell.
Актуальность для российских пользователей: учитывая, что крадут данные популярных сервисов и кошельков, знание схемы актуально и для русскоязычной аудитории.