Gelombang CAPTCHA palsu utama sedang mengarahkan pengguna untuk menjalankan PowerShell di Windows, memicu pencuri kripto Lumma Stealer. Menurut analisis oleh DNSFilter, 23 interaksi dalam 72 jam tercatat, dengan 17% pengunjung mengikuti instruksi yang ditampilkan di layar (DNSFilter). Hasil segera: dompet kripto kosong dan dana dicuci dalam waktu kurang dari 3 menit.
Menurut data yang dikumpulkan oleh tim respons insiden yang menganalisis halaman yang diblokir antara 14 dan 17 Agustus 2025, jendela operasional untuk mencegah transfer dana pertama sering kali kurang dari 180 detik. Analis industri juga mencatat bahwa kampanye dengan overlay yang persuasif mencatat tingkat konversi antara 12% dan 20%, konsisten dengan 17% yang terdeteksi oleh DNSFilter.
Data kunci: 17% dari "konversi" setelah eksekusi perintah.
Taktik: overlay verifikasi yang mensimulasikan pemeriksaan anti-bot dan membimbing pelaksanaan PowerShell.
Dampak: pencurian kredensial, cookie, 2FA, dan crypto dompet dengan monetisasi hampir instan.
Contoh CAPTCHA palsu yang meminta verifikasi "manual": tanda peringatan yang tidak boleh diabaikan.
Bagaimana penipuan ini bekerja: dari “Saya bukan robot” palsu hingga malware dalam memori
CAPTCHA palsu meniru klasik "Saya bukan robot," tetapi alih-alih memvalidasi akses, mereka meminta pengguna untuk menekan Windows+R dan menempelkan perintah. Ini memulai eksekusi PowerShell yang mengunduh dan memuat ke dalam memori DLL yang terhubung ke Lumma Stealer, sering menggunakan teknik tanpa file untuk menghindari perangkat lunak antivirus tradisional.
Malware dapat menonaktifkan atau melewati kontrol runtime seperti AMSI (Antimalware Scan Interface) untuk menyembunyikan payload yang dimuat di memori. Aspek menariknya adalah kecepatan pengumpulan: setelah aktif, malware mengekstrak kata sandi yang disimpan, cookie, token sesi, kode 2FA, dan data dompet cryptocurrency.
Kasus yang diamati oleh DNSFilter: overlay di situs yang sah
Peringatan terjadi ketika penyedia yang dikelola mendeteksi overlay verifikasi di situs perbankan Eropa: itu menampilkan kesalahan DNS palsu dan memerlukan "verifikasi manual." Pengguna kemudian diarahkan untuk menjalankan PowerShell, memulai pengunduhan dan eksekusi payload Lumma. Dalam tiga hari, 23 halaman serupa diblokir; perlu dicatat bahwa hampir 1 dari 6 pengguna mengikuti langkah-langkah yang diusulkan.
Garis waktu pencurian dalam 3 menit
Masuk: pengguna mengunjungi situs yang sah atau halaman yang disalin; CAPTCHA palsu dengan kesalahan DNS muncul.
Rekayasa sosial: halaman tersebut mengundang untuk "memvalidasi" akses dengan Windows+R dan perintah yang telah diprakompilasi.
Eksekusi: PowerShell menonaktifkan kontrol seperti AMSI, memuat DLL Lumma Stealer, dan tetap dalam memori (fileless).
Exfiltrasi: malware mengumpulkan kredensial browser, cookies, 2FA, seed, dan data dompet dari crypto.
Monetisasi: kunci digunakan untuk mentransfer dana di DEX dan mixer; pencucian uang terjadi dalam hitungan menit.
Sebaran, varian, dan domain terkait
Kampanye telah terdeteksi berulang kali dalam rentang yang sempit, dengan halaman yang mengubah domain dan grafik untuk menghindari pemblokiran. Tidak semua varian adalah tanpa file: beberapa menawarkan unduhan eksekusi yang disamarkan sebagai "verifier." Dalam konteks ini, di antara domain yang diamati dalam kampanye serupa adalah human-verify-7u.pages.dev dan recaptcha-manual.shop.
Mengapa pemulihan crypto begitu sulit
Kecepatan adalah senjata utama dari serangan. Setelah dicuri, dana dipindahkan ke DEX dan alat otomatisasi yang memecah transaksi. Untuk alasan ini, tim analisis on-chain melaporkan bahwa pencucian uang dapat terjadi dalam beberapa menit, membuat pemulihan sangat kompleks.
Indikator teknis (untuk SOC/IT)
Domain/URL yang Diamati: human-verify-7u.pages.dev, recaptcha-manual.shop, variasi pada subdomain "human-verify" dan "recaptcha-manual".
Taktik, Teknik, Prosedur (TTP): rekayasa sosial melalui overlay; eksekusi PowerShell dengan deaktivasi AMSI; pemuatan DLL dalam memori (fileless); pengumpulan kredensial dari browser dan dompet.
Sinyal anomali titik akhir: proses powershell.exe diluncurkan oleh explorer.exe/win+r; aktivitas jaringan segera setelah eksekusi; akses ke direktori profil browser.
Pola halaman: kesalahan DNS palsu + permintaan untuk “verifikasi manual” dengan kombinasi Windows+R dan “salin/tempel”.
Pemberitahuan hukum: bagikan IOC dengan bertanggung jawab; hindari menyebarkan perintah atau payload yang dapat dieksekusi.
Panduan Cepat: Pertahanan Segera
Jangan menempelkan perintah yang disarankan oleh halaman web atau pop-up.
Atur blok DNS dan penyaringan konten untuk domain yang mencurigakan dan kategori malvertising.
Batasi eksekusi skrip PowerShell untuk pengguna non-administrator; aktifkan Mode Bahasa Terbatas jika memungkinkan.
Aktifkan dan pantau solusi AMSI dan EDR dengan aturan pada proses yang ada di memori.
Pisahkan penggunaan dompet dari browser utama; lebih baik menggunakan dompet perangkat keras.
Nonaktifkan penyimpanan kata sandi di browser; gunakan pengelola kata sandi dengan MFA.
Latih pengguna dengan contoh nyata tentang phishing dan CAPTCHA palsu di situs sensitif.
Langkah-langkah untuk perusahaan
Segmentasi jaringan dan blok pada tingkat proxy/DNS untuk domain yang baru terdaftar dan pola "human-verify/recaptcha-manual".
Kebijakan clipboard pada perangkat yang dikelola; peringatan saat situs menginduksi salin/tempel perintah.
Perburuan ancaman pada rantai penyisipan proses dan pada eksekusi anomalus dari powershell.exe.
Buku panduan eskalasi segera: isolasi host, pencabutan sesi, rotasi kredensial, invalidasi token dan cookie.
Membatasi kerusakan setelah pencurian
Segera isolasi perangkat dan cabut sesi aktif pada layanan kritis.
Regenerasi frasa benih dan pindahkan dana ke dompet yang aman dan tidak terkompromi.
Aktifkan MFA pada aplikasi yang independen dari browser; hindari mekanisme yang terkait dengan cookie atau sesi yang disinkronkan.
FAQ
Bagaimana cara mengenali CAPTCHA palsu?
Hati-hati dengan halaman yang meminta Windows+R, salin/tempel perintah, atau unduh "verifier". Jika ragu, periksa URL dan tutup halaman tersebut.
Apakah ini selalu merupakan serangan tanpa file?
Tidak. Beberapa varian mengunduh executable tradisional; yang lain beroperasi sepenuhnya di memori untuk mengurangi jejak di disk.
Data apa yang mereka targetkan untuk dicuri?
Kredensial browser, cookie, 2FA, data dan kunci dompet kripto.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
CAPTCHA palsu, crypto menghilang dalam 3 menit: trik PowerShell dari Lumma Stealer menipu 1 ...
Gelombang CAPTCHA palsu utama sedang mengarahkan pengguna untuk menjalankan PowerShell di Windows, memicu pencuri kripto Lumma Stealer. Menurut analisis oleh DNSFilter, 23 interaksi dalam 72 jam tercatat, dengan 17% pengunjung mengikuti instruksi yang ditampilkan di layar (DNSFilter). Hasil segera: dompet kripto kosong dan dana dicuci dalam waktu kurang dari 3 menit.
Menurut data yang dikumpulkan oleh tim respons insiden yang menganalisis halaman yang diblokir antara 14 dan 17 Agustus 2025, jendela operasional untuk mencegah transfer dana pertama sering kali kurang dari 180 detik. Analis industri juga mencatat bahwa kampanye dengan overlay yang persuasif mencatat tingkat konversi antara 12% dan 20%, konsisten dengan 17% yang terdeteksi oleh DNSFilter.
Data kunci: 17% dari "konversi" setelah eksekusi perintah.
Taktik: overlay verifikasi yang mensimulasikan pemeriksaan anti-bot dan membimbing pelaksanaan PowerShell.
Dampak: pencurian kredensial, cookie, 2FA, dan crypto dompet dengan monetisasi hampir instan.
Contoh CAPTCHA palsu yang meminta verifikasi "manual": tanda peringatan yang tidak boleh diabaikan.
Bagaimana penipuan ini bekerja: dari “Saya bukan robot” palsu hingga malware dalam memori
CAPTCHA palsu meniru klasik "Saya bukan robot," tetapi alih-alih memvalidasi akses, mereka meminta pengguna untuk menekan Windows+R dan menempelkan perintah. Ini memulai eksekusi PowerShell yang mengunduh dan memuat ke dalam memori DLL yang terhubung ke Lumma Stealer, sering menggunakan teknik tanpa file untuk menghindari perangkat lunak antivirus tradisional.
Malware dapat menonaktifkan atau melewati kontrol runtime seperti AMSI (Antimalware Scan Interface) untuk menyembunyikan payload yang dimuat di memori. Aspek menariknya adalah kecepatan pengumpulan: setelah aktif, malware mengekstrak kata sandi yang disimpan, cookie, token sesi, kode 2FA, dan data dompet cryptocurrency.
Kasus yang diamati oleh DNSFilter: overlay di situs yang sah
Peringatan terjadi ketika penyedia yang dikelola mendeteksi overlay verifikasi di situs perbankan Eropa: itu menampilkan kesalahan DNS palsu dan memerlukan "verifikasi manual." Pengguna kemudian diarahkan untuk menjalankan PowerShell, memulai pengunduhan dan eksekusi payload Lumma. Dalam tiga hari, 23 halaman serupa diblokir; perlu dicatat bahwa hampir 1 dari 6 pengguna mengikuti langkah-langkah yang diusulkan.
Garis waktu pencurian dalam 3 menit
Masuk: pengguna mengunjungi situs yang sah atau halaman yang disalin; CAPTCHA palsu dengan kesalahan DNS muncul.
Rekayasa sosial: halaman tersebut mengundang untuk "memvalidasi" akses dengan Windows+R dan perintah yang telah diprakompilasi.
Eksekusi: PowerShell menonaktifkan kontrol seperti AMSI, memuat DLL Lumma Stealer, dan tetap dalam memori (fileless).
Exfiltrasi: malware mengumpulkan kredensial browser, cookies, 2FA, seed, dan data dompet dari crypto.
Monetisasi: kunci digunakan untuk mentransfer dana di DEX dan mixer; pencucian uang terjadi dalam hitungan menit.
Sebaran, varian, dan domain terkait
Kampanye telah terdeteksi berulang kali dalam rentang yang sempit, dengan halaman yang mengubah domain dan grafik untuk menghindari pemblokiran. Tidak semua varian adalah tanpa file: beberapa menawarkan unduhan eksekusi yang disamarkan sebagai "verifier." Dalam konteks ini, di antara domain yang diamati dalam kampanye serupa adalah human-verify-7u.pages.dev dan recaptcha-manual.shop.
Mengapa pemulihan crypto begitu sulit
Kecepatan adalah senjata utama dari serangan. Setelah dicuri, dana dipindahkan ke DEX dan alat otomatisasi yang memecah transaksi. Untuk alasan ini, tim analisis on-chain melaporkan bahwa pencucian uang dapat terjadi dalam beberapa menit, membuat pemulihan sangat kompleks.
Indikator teknis (untuk SOC/IT)
Domain/URL yang Diamati: human-verify-7u.pages.dev, recaptcha-manual.shop, variasi pada subdomain "human-verify" dan "recaptcha-manual".
Taktik, Teknik, Prosedur (TTP): rekayasa sosial melalui overlay; eksekusi PowerShell dengan deaktivasi AMSI; pemuatan DLL dalam memori (fileless); pengumpulan kredensial dari browser dan dompet.
Sinyal anomali titik akhir: proses powershell.exe diluncurkan oleh explorer.exe/win+r; aktivitas jaringan segera setelah eksekusi; akses ke direktori profil browser.
Pola halaman: kesalahan DNS palsu + permintaan untuk “verifikasi manual” dengan kombinasi Windows+R dan “salin/tempel”.
Pemberitahuan hukum: bagikan IOC dengan bertanggung jawab; hindari menyebarkan perintah atau payload yang dapat dieksekusi.
Panduan Cepat: Pertahanan Segera
Jangan menempelkan perintah yang disarankan oleh halaman web atau pop-up.
Atur blok DNS dan penyaringan konten untuk domain yang mencurigakan dan kategori malvertising.
Batasi eksekusi skrip PowerShell untuk pengguna non-administrator; aktifkan Mode Bahasa Terbatas jika memungkinkan.
Aktifkan dan pantau solusi AMSI dan EDR dengan aturan pada proses yang ada di memori.
Pisahkan penggunaan dompet dari browser utama; lebih baik menggunakan dompet perangkat keras.
Nonaktifkan penyimpanan kata sandi di browser; gunakan pengelola kata sandi dengan MFA.
Latih pengguna dengan contoh nyata tentang phishing dan CAPTCHA palsu di situs sensitif.
Langkah-langkah untuk perusahaan
Segmentasi jaringan dan blok pada tingkat proxy/DNS untuk domain yang baru terdaftar dan pola "human-verify/recaptcha-manual".
Kebijakan clipboard pada perangkat yang dikelola; peringatan saat situs menginduksi salin/tempel perintah.
Perburuan ancaman pada rantai penyisipan proses dan pada eksekusi anomalus dari powershell.exe.
Buku panduan eskalasi segera: isolasi host, pencabutan sesi, rotasi kredensial, invalidasi token dan cookie.
Membatasi kerusakan setelah pencurian
Segera isolasi perangkat dan cabut sesi aktif pada layanan kritis.
Regenerasi frasa benih dan pindahkan dana ke dompet yang aman dan tidak terkompromi.
Aktifkan MFA pada aplikasi yang independen dari browser; hindari mekanisme yang terkait dengan cookie atau sesi yang disinkronkan.
FAQ
Bagaimana cara mengenali CAPTCHA palsu?
Hati-hati dengan halaman yang meminta Windows+R, salin/tempel perintah, atau unduh "verifier". Jika ragu, periksa URL dan tutup halaman tersebut.
Apakah ini selalu merupakan serangan tanpa file?
Tidak. Beberapa varian mengunduh executable tradisional; yang lain beroperasi sepenuhnya di memori untuk mengurangi jejak di disk.
Data apa yang mereka targetkan untuk dicuri?
Kredensial browser, cookie, 2FA, data dan kunci dompet kripto.
Sumber dan wawasan