Hackeři používali falešné stránky s CAPTCHA k šíření škodlivého softwaru na Windows

Jak útočníci využívají falešné stránky CAPTCHA

Noví výzkumníci odhalili zranitelnost, která umožňuje hackerům klamat uživatele Windows a přimět je spustit škodlivý PowerShell skript. Skript nazvaný Stealthy StealC Information Stealer krade data z prohlížeče, hesla k kryptoměnovým peněženkám, účty Steam a Outlook a poté odesílá vše spolu se snímky obrazovky na server řízení.

Co se děje v průběhu útoku?
1. Falešné stránky CAPTCHA

Hackeři umisťují podvodný ověřovací rozhraní, které vypadá jako běžná stránka s CAPTCHA. Na těchto stránkách uživatel vidí „požadavek“ stisknout kombinaci kláves Windows + R (otevřít dialog Spustit) a poté Ctrl + V (vložit ze schránky).

2. Spuštění PowerShell z clipboardu

Do schránky je předem nahrán spustitelný PowerShell skript. Uživatel, následující pokyn, ho ručně spustí, aniž by si uvědomil škodlivou povahu příkazu.

3. Stažení a šíření kódu

Po spuštění se skript připojí k vzdálenému serveru a stáhne další škodlivý kód. Traffic je šifrován protokolem RC4, což ztěžuje jeho odhalení standardními bezpečnostními prostředky.

Proč je to nebezpečné?
- Obcházení tradičních ochranných mechanismů – běžné blokování stahování souborů nemusí fungovat, protože skript již běží v systému.

- Široký rozsah ukradených dat – od hesel z prohlížeče po kryptoměnové klíče a účty populárních služeb.

- Nezávislost na uživateli – akce vypadá jako běžná bezpečnostní kontrola, nikoli spuštění škodlivého softwaru.

Jak se chránit?
Co udělat | Co to dělá
---|---
Omezit používání PowerShell | Nastavit politiky zakazující spouštění skriptů bez podpisu.
Kontrola aplikací Windows | Zapnout AppLocker nebo podobný systém kontroly spuštění programů.
Monitoring odchozího trafficu | Sledovat podezřelé spojení (například HTTP‑traffic šifrovaný RC4) a blokovat je.

Dodržováním těchto doporučení lze výrazně snížit riziko, že se uživatel stane obětí takového útoku.