- Хакеры используют поддельные страницы CAPTCHA для обмана пользователей Windows и установки вредоносного инфостилера StealC.
- Вредоносное ПО похищает учётные данные браузеров, криптовалютные кошельки, аккаунты Outlook и Steam, а также системную информацию.
- Атака реализуется через выполнение вредоносных команд PowerShell, скрытых в буфере обмена, что затрудняет обнаружение вредоносной активности.
Эксперты из компании LevelBlue выявили новую кампанию социальной инженерии, в рамках которой злоумышленники внедряют поддельные страницы CAPTCHA на взломанных легитимных сайтах для заражения пользователей Windows вредоносным инфостилером StealC.
Атака основывается на использовании вредоносного JavaScript, который при посещении заражённого сайта загружает страницу проверки в стиле Cloudflare CAPTCHA, очень убедительно имитируя легитимный интерфейс. Однако вместо стандартной проверки пользователям предлагают вручную нажать сочетание клавиш Windows + R, вставить скопированную вредоносную команду PowerShell и подтвердить её выполнение клавишей Enter. Этот метод, известный как ClickFix, позволяет выполнить код без прямых запросов на загрузку и без предупреждений безопасности, что значительно усложняет обнаружение атаки.
После запуска команда PowerShell подключается к удалённому серверу управления, загружая и выполняя вредоносный 64-битный загрузчик, который внедряет финальную полезную нагрузку StealC в процесс svchost.exe — важный системный компонент Windows. Стилер собирает широкий спектр конфиденциальной информации: учётные данные браузеров, данные для доступа к электронной почте, криптовалютным кошелькам, учётным записям Steam, а также делает снимки экрана. Вся передача данных осуществляется по зашифрованному каналу с использованием HTTP и шифрования RC4, что дополнительно скрывает деятельность вредононосного ПО.
Исследователи отмечают, что многослойная обфускация и преимущественное выполнение атаки в оперативной памяти затрудняют анализ и блокировку угрозы традиционными методами. В связи с этим для защиты важно обращать внимание на поведенческий анализ процессов, а не только на статические индикаторы вредоносной активности.
LevelBlue рекомендует организациям принять ряд мер для противодействия подобным атакам: мониторить запуск PowerShell с необычными параметрами, выявлять подозрительные взаимодействия с хранилищами учётных данных и операциями буфера обмена в браузерах, ограничивать возможности интерактивного выполнения скриптов, а также использовать политики контроля приложений, которые могут блокировать несанкционированные скрипты и рефлексивные загрузчики. Кроме того, необходимо отслеживать аномальный сетевой трафик, подозрительные домены и необычные запросы к инфраструктуре управления и контроля.
Важным элементом защиты является ограничение хранения паролей в браузерах, изоляция привилегированных аккаунтов и защита доступа к критически важным криптовалютным кошелькам и административным данным. Эксперты также советуют регулярно проводить тренировки по реагированию на инциденты с использованием моделей атак без файлового следа.
Стоит отметить, что подобные техники ClickFix ранее применялись в атаках на десятки российских компаний в 2025 году, где злоумышленники маскировались под силовые ведомства для распространения вредоносных программ с помощью обманчивых CAPTCHA. Аналогичные схемы с фейковыми проверками фиксировались и в Telegram, что подтверждает растущую популярность данного вектора атаки среди киберпреступников.
