Οι χάκερ χρησιμοποίησαν ψεύτικες σελίδες CAPTCHA για τη διάδοση κακόβουλου λογισμικού στα Windows

Πώς οι επιτιθέμενοι χρησιμοποιούν ψευδείς σελίδες CAPTCHA

Οι νέοι ερευνητές εντοπίστηκαν μια ευπάθεια που επιτρέπει στους χάκερ να εξαπατήσουν χρήστες Windows και να τους κάνουν να εκτελέσουν κακόβουλο σενάριο PowerShell. Το σενάριο, με το όνομα Stealthy StealC Information Stealer, κλέβει δεδομένα από τον περιηγητή, συνθηματικά για κρυπτονομισματικές πορτοφολές, λογαριασμούς Steam και Outlook, και στη συνέχεια στέλνει όλα αυτά μαζί με στιγμιότυπα οθόνης στον διακομιστή ελέγχου.

Τι συμβαίνει κατά τη διάρκεια της επίθεσης;
1. Ψευδείς σελίδες CAPTCHA

Οι χάκερ τοποθετούν ψεύτικο διεπαφή επαλήθευσης που μοιάζει με κανονική σελίδα CAPTCHA. Σε αυτές τις σελίδες ο χρήστης βλέπει «προτροπή» να πατήσει τη συνδυασμένη πλήκτρα Windows + R (επιλογή “Εκτέλεση”) και στη συνέχεια Ctrl + V (επικόλληση από το πρόχειρο).

2. Εκτέλεση PowerShell από το πρόχειρο

Το εκτελέσιμο σενάριο PowerShell φορτώνεται προκαταβολικά στο πρόχειρο. Ο χρήστης, ακολουθώντας τις οδηγίες, το εκτελεί χειροκίνητα, χωρίς να συνειδητοποιεί την κακόβουλη φύση της εντολής.

3. Λήψη και διάδοση κώδικα

Μετά την εκτέλεση το σενάριο συνδέεται με απομακρυσμένο διακομιστή και ληφθεί πρόσθετος κακόβουλος κώδικας. Η κυκλοφορία κρυπτογραφείται με πρωτόκολλο RC4, καθιστώντας δύσκολη την ανίχνευση με τα παραδοσιακά μέσα ασφαλείας.

Γιατί είναι επικίνδυνο;
- Απαγόρευση των παραδοσιακών προστασιών – οι συνηθισμένοι μηχανισμοί αποκλεισμού λήψης αρχείων μπορεί να μην λειτουργούν, καθώς το σενάριο έχει ήδη εκτελεστεί στο σύστημα.

- Εύρος κλεμμένων δεδομένων – από συνθηματικά περιηγητή έως κρυπτονομισματικούς κλειδιά και λογαριασμούς δημοφιλών υπηρεσιών.

- Ανεπισημότητα για τον χρήστη – η ενέργεια φαίνεται σαν κανονική επαλήθευση ασφαλείας, όχι ως εκτέλεση κακόβουλου λογισμικού.

Πώς να προστατευτείτε;
Μέτρο | Τι κάνει
--- | ---
Περιορισμός της χρήσης PowerShell | Εγκαταστήστε πολιτικές που απαγορεύουν την εκτέλεση σενάριων χωρίς υπογραφή.
Έλεγχος εφαρμογών Windows | Ενεργοποιήστε το AppLocker ή παρόμοιο σύστημα ελέγχου εκτέλεσης προγραμμάτων.
Παρακολούθηση εξόδου δικτύου | Παρακολουθήστε ύποπτες συνδέσεις (π.χ., HTTP‑traffic κρυπτογραφημένο RC4) και αποκλείστε τις.

Ακολουθώντας αυτές τις οδηγίες, μπορείτε να μειώσετε σημαντικά τον κίνδυνο ότι ένας χρήστης θα γίνει θύμα τέτοιου επιθέματος.