RU
Проверки безопасности существуют для того, чтобы не допустить проникновения ботов, но мошенники перевернули сценарий. Мошенники с поддельными CAPTCHA используют именно те инструменты, которые призваны защитить вас, в качестве маскировки, чтобы взломать ваш компьютер.
Поддельные страницы проверки не проверяют, являетесь ли вы человеком. Они обманом заставляют вас установить вредоносное ПО на собственное устройство. Вы пытаетесь доказать, что вы не робот, и при этом передаете ключи от своей системы.
В этой статье мы расскажем, как именно работает техника ClickFix, что происходит, когда вы нажимаете клавишу Enter, и как остановить атаку на корню.
В двух словах
Поддельная CAPTCHA - это вредоносная веб-страница, которая имитирует тест на проверку человеком, чтобы обманом заставить вас вручную выполнять компьютерные команды. Настоящие CAPTCHA просят вас нажать на светофор или поставить галочку. Поддельные CAPTCHA используют технику ClickFix, при которой страница молча копирует скрытый вредоносный скрипт в буфер обмена вашего компьютера в тот момент, когда вы нажимаете кнопку "Проверить".
Затем страница выдает пошаговые инструкции, которые выглядят как стандартная проверка безопасности. В них говорится, что нужно нажать "Windows Key + R", чтобы открыть меню "Выполнить", нажать "Ctrl + V", чтобы вставить проверочный код, и нажать Enter. Поскольку вы считаете, что просто вставляете безобидный код, ваша бдительность ослабевает.
Как только вы нажимаете Enter, выполняется скрытый скрипт. За кулисами команда запускает законные инструменты Windows, такие как PowerShell или mshta.exe - программы, выполняющие скрипты, - чтобы загрузить и установить вредоносное ПО прямо на ваш компьютер.
В третьем квартале 2024 года исследователи заметили значительный рост числа кампаний с поддельными CAPTCHA. К апрелю 2025 года почти 11 % всех фишинговых писем по всему миру были отправлены с использованием доверенных платформ. В рамках этих кампаний распространялось разрушительное вредоносное ПО, включая Lumma Stealer, Rhadamanthys, AsyncRAT и XWorm.
Поддельные CAPTCHA распространяются в основном через перехваченные результаты поиска, вредоносную рекламу и обманчивые электронные письма. Вы можете искать обычное программное обеспечение для загрузки и нажать на рекламу, известную как malvertising, которая перенаправляет вас на фальшивую страницу проверки. Злоумышленники также используют тактику SEO poisoning, когда они манипулируют поисковыми системами, чтобы их мошеннические сайты занимали первые места в результатах поиска.
В других случаях вы можете нажать на ссылку в фишинговом письме или попасть на законный сайт, который хакер взломал с помощью внедренных скриптов. Как только вы попадаете на сайт, он блокирует нужный вам контент и выводит фальшивую подсказку "Я не робот".
Нельзя полагаться на блокировку одного плохого веб-адреса, чтобы оставаться в безопасности. Злоумышленники регулярно меняют URL-адреса, чтобы избежать обнаружения после того, как фирмы, занимающиеся кибербезопасностью, удаляют их страницы.
Поддельные CAPTCHA устанавливают агрессивное программное обеспечение, предназначенное для кражи ваших данных или полного контроля над устройством. Чаще всего это такие программы для кражи информации, как Lumma Stealer, StealC и Rhadamanthys, которые бесшумно собирают ваши сохраненные пароли, куки браузера и криптовалютные кошельки. Похищая куки активной сессии, хакеры обходят двухфакторную аутентификацию и проникают в ваши аккаунты.
Другие кампании распространяют троянские программы удаленного доступа (RAT), такие как AsyncRAT или XWorm, которые дают злоумышленникам скрытый бэкдор для просмотра вашего экрана и управления устройством. Вы также можете столкнуться с многоступенчатыми загрузчиками, такими как Emmenhtal-malware, который действует как курьер, сбрасывая на вашу систему серию дополнительных вирусов с течением времени.
Эта угроза также нацелена на смартфоны через особый мобильный вариант. Некоторые поддельные CAPTCHA на телефонах обманывают вас, заставляя отправить автоматическое текстовое сообщение, чтобы "доказать, что вы человек", что на самом деле вызывает международное SMS-мошенничество и приводит к телефонным счетам в размере около 30 долларов на жертву.
Вы можете определить поддельную CAPTCHA, потому что она всегда просит вас выполнить действия вне веб-браузера, например открыть системное меню или скопировать текст. Легитимная проверка безопасности будет просить вас взаимодействовать только непосредственно с самой веб-страницей.
Легитимная CAPTCHA Поддельная CAPTCHA Поставьте галочку или решите визуальную головоломку Просит вас открыть диалог "Выполнить" (Win+R) или терминал. Никогда не использует комбинации клавиш Дает пошаговые инструкции по работе с клавиатурой Никогда не просит вас скопировать-вставить что-либо Бесшумно копирует команду в буфер обмена Всегда находится на том сайте, который вы собирались посетить Часто появляется на незнакомых доменах или всплывающих страницах Не просит вас загрузить файлы Может содержать обучающие видеоролики, которые помогут вам выполнить все шаги системыЕсли вы вставили и выполнили команду, необходимо немедленно отключить устройство от Интернета, чтобы разорвать связь со злоумышленником. Выдерните кабель Ethernet или выключите Wi-Fi роутер, чтобы вредоносная программа не смогла отправить украденные пароли обратно хакеру.
Чтобы защитить себя, воспринимайте любую просьбу использовать сочетания клавиш, например Windows Key + R, как непосредственную серьезную угрозу безопасности. Веб-сайты не могут заставить вас открыть системное меню, поэтому им приходится использовать психологические уловки, чтобы убедить вас сделать это самостоятельно.
Относитесь с большим скепсисом к любой CAPTCHA, появляющейся во всплывающем окне, на подозрительном домене или на сайте с бесплатным контентом. Вы можете уменьшить свою уязвимость, используя расширение для браузера, блокирующее вредоносные домены, и постоянно обновляя операционную систему и антивирусное программное обеспечение.
Для просмотра сайтов с высокой степенью риска отключите JavaScript на неизвестных сайтах или используйте специальный изолированный браузер. Если вы пользуетесь смартфоном, никогда не отправляйте SMS для подтверждения своей личности - легитимные CAPTCHA никогда не откроют ваше приложение для обмена сообщениями, чтобы отправить премиальные тексты.
Мошенничество с поддельными CAPTCHA блестяще обманчиво, потому что оно обращает ваши собственные привычки безопасности против вас. Вы привыкли нажимать на кнопки, чтобы доказать, что вы человек, поэтому запрос кажется рутинным и безобидным.
Эта атака использует обычное поведение человека. Хакерам нужно, чтобы вы вручную выполнили их код, поэтому они маскируют полезную нагрузку под стандартный шаг проверки.
Если на каком-либо сайте вас попросят нажать клавишу Windows или вставить команду, чтобы доказать, что вы человек, немедленно закройте вкладку.
Часто задаваемые вопросы
Может ли мой антивирус заблокировать поддельную CAPTCHA?
Ваш антивирус может поймать вредоносную программу после ее загрузки, но он не сможет помешать вам вручную вставить и запустить вредоносную команду.
Устанавливает ли вредоносную программу нажатие кнопки "Проверить"?
Нажатие на кнопку только копирует вредоносный код в буфер обмена; заражение происходит, когда вы вставляете команду и нажимаете Enter.
Опасны ли поддельные CAPTCHA только на компьютерах с Windows?
В то время как поддельный диалог CAPTCHA Windows Run нацелен на ПК, мобильные варианты этого мошенничества обманывают пользователей, заставляя их отправлять текстовые сообщения с повышенными тарифами.
Как хакеры скрывают от меня вредоносную команду?
Фальшивая страница CAPTCHA бесшумно копирует код в ваш буфер обмена, поэтому, когда вы вставляете его в приглашение "Выполнить", вы выполняете его, не читая.
Адам Коллинз - исследователь кибербезопасности в ScamAdviser, работающий под псевдонимом для обеспечения конфиденциальности и безопасности. Более четырех лет работая на цифровом фронте, он специализируется на переводе сложных угроз в действенные советы. Его миссия: выявлять "красные флажки", чтобы вы могли уверенно ориентироваться в Интернете.
