Các hacker đã sử dụng các trang CAPTCHA giả để lan truyền phần mềm độc hại trên Windows

Cách kẻ tấn công sử dụng trang CAPTCHA giả

Các nhà nghiên cứu mới phát hiện một lỗ hổng cho phép hacker lừa dối người dùng Windows và khiến họ chạy một đoạn mã độc PowerShell. Đoạn mã, được đặt tên Stealthy StealC Information Stealer, trộm dữ liệu từ trình duyệt, mật khẩu ví tiền điện tử, tài khoản Steam và Outlook, sau đó gửi tất cả những thứ này cùng với ảnh chụp màn hình tới máy chủ điều khiển.

Điều gì xảy ra trong quá trình tấn công?
1. Trang CAPTCHA giả

Hacker đặt giao diện kiểm tra giả, trông giống như một trang CAPTCHA bình thường. Trên các trang này người dùng thấy “yêu cầu” nhấn tổ hợp phím Windows + R (mở hộp thoại “Chạy”) và sau đó Ctrl + V (dán từ bộ nhớ tạm).

2. Chạy PowerShell từ bộ nhớ tạm

Đầu vào clipboard đã được tải sẵn đoạn mã thực thi PowerShell. Người dùng, theo hướng dẫn, chạy nó thủ công mà không biết lệnh có tính chất độc hại.

3. Tải xuống và phân phối mã

Sau khi khởi động, đoạn mã kết nối tới máy chủ từ xa và tải thêm mã độc. Tráffic được mã hoá bằng giao thức RC4, làm khó phát hiện với các biện pháp bảo mật tiêu chuẩn.

Tại sao điều này nguy hiểm?
- Bypass bảo vệ truyền thống – các cơ chế chặn tải file thường không hoạt động vì đoạn mã đã chạy trong hệ thống.

- Phạm vi dữ liệu bị trộm rộng – từ mật khẩu trình duyệt đến khóa tiền điện tử và tài khoản dịch vụ phổ biến.

- Không được người dùng nhận ra – hành động trông giống như một kiểm tra bảo mật bình thường, chứ không phải là khởi chạy phần mềm độc hại.

Cách phòng tránh?
Biện pháp | Mô tả
---|---
Giới hạn sử dụng PowerShell | Thiết lập chính sách cấm thực thi đoạn mã chưa được ký.
Kiểm soát ứng dụng Windows | Bật AppLocker hoặc hệ thống kiểm soát thực thi tương tự.
Giám sát lưu lượng ra | Theo dõi kết nối đáng ngờ (ví dụ, HTTP‑traffic mã hoá RC4) và chặn chúng.

Bằng cách tuân theo các khuyến nghị này, bạn có thể giảm đáng kể nguy cơ người dùng trở thành nạn nhân của cuộc tấn công như vậy.