تؤدي موجة من CAPTCHA المزيف إلى جعل المستخدمين ينفذون PowerShell على نظام ويندوز، مما يؤدي إلى تفعيل لص العملات المشفرة Lumma Stealer. وفقًا لتحليل DNSFilter، تم تسجيل 23 تفاعلًا في 72 ساعة، حيث اتبع 17% من الزوار التعليمات المعروضة على الشاشة (DNSFilter). النتيجة الفورية: تم إفراغ محافظ العملات المشفرة وغسل الأموال في أقل من 3 دقائق.
وفقًا للبيانات التي جمعها فرق الاستجابة للحوادث التي قامت بتحليل الصفحات المحظورة بين 14 و 17 أغسطس 2025، فإن نافذة التشغيل لمنع أول تحويل للأموال غالبًا ما تكون أقل من 180 ثانية. كما يلاحظ محللو الصناعة أن الحملات التي تحتوي على طبقات مقنعة تسجل معدلات تحويل تتراوح بين 12% و 20%، وهو ما يتماشى مع 17% التي تم اكتشافها بواسطة DNSFilter.
البيانات الرئيسية: 17% من "التحويل" عند تنفيذ الأمر.
التكتيك: طبقة تحقق تحاكي فحص مضاد للبوت وتوجه تنفيذ PowerShell.
التأثير: سرقة بيانات الاعتماد، الكوكيز، 2FA، وعملة المحفظة مع تحقيق الربح تقريبًا على الفور.
مثال على CAPTCHA زائف يحث على التحقق "يدويًا": علامة تحذير لا ينبغي تجاهلها.
كيف يعمل الخداع: من "أنا لست روبوتًا" المزيفة إلى البرمجيات الخبيثة في الذاكرة
تقوم CAPTCHAs الزائفة بمحاكاة الكلاسيكية "لست روبوتًا"، ولكن بدلاً من التحقق من الوصول، تطلب من المستخدم الضغط على Windows+R ولصق أمر. هذا يبدأ تنفيذ PowerShell الذي يقوم بتحميل DLL المرتبط بـ Lumma Stealer إلى الذاكرة، غالبًا باستخدام تقنية بدون ملفات لتجنب برامج مكافحة الفيروسات التقليدية.
يمكن للبرامج الضارة تعطيل أو تجاوز عناصر التحكم في وقت التشغيل مثل AMSI (واجهة مسح البرامج الضارة) لإخفاء الحمولات المحملة في الذاكرة. جانب مثير للاهتمام هو سرعة الجمع: بمجرد أن تصبح نشطة، تستخرج البرامج الضارة كلمات المرور المحفوظة، وملفات تعريف الارتباط، ورموز الجلسة، ورموز المصادقة الثنائية، وبيانات محفظة العملات المشفرة.
الحالة التي تم ملاحظتها بواسطة DNSFilter: تراكب على المواقع الشرعية
تم تفعيل التنبيه عندما اكتشف مزود مُدار طبقة تحقق على موقع مصرفي أوروبي: حيث عرض خطأ DNS مزيف وطلب "تحقق يدوي". ثم تم توجيه المستخدم لتنفيذ PowerShell، مما أدى إلى تنزيل وتنفيذ حمولة Lumma. خلال ثلاثة أيام، تم حظر 23 صفحة مشابهة؛ يجب أن يُلاحظ أن ما يقرب من 1 من كل 6 مستخدمين قاموا بمتابعة الخطوات المقترحة.
جدول زمني لسرقة في 3 دقائق
الدخول: يقوم المستخدم بزيارة موقع شرعي أو صفحة مقلدة؛ يظهر CAPTCHA مزيف مع خطأ DNS.
الهندسة الاجتماعية: الصفحة تدعو إلى "تحقق" من الوصول باستخدام Windows+R وأمر مُجمع مسبقًا.
التنفيذ: تعطل PowerShell عناصر التحكم مثل AMSI، وتحميل DLL Lumma Stealer، وتبقى في الذاكرة (fileless).
الاستغلال: يقوم البرمجيات الضارة بجمع بيانات اعتماد المتصفح، الكوكيز، 2FA، المفتاح السري، وبيانات المحفظة من العملات المشفرة.
تحقيق الدخل: يتم استخدام المفاتيح لنقل الأموال على DEX والم mixers؛ يحدث غسيل الأموال في دقائق.
الانتشار، المتغيرات، والمجالات ذات الصلة
تم اكتشاف الحملة بشكل متكرر في نطاق ضيق، حيث تتغير الصفحات النطاق والرسوميات لتفادي الحظر. ليست جميع المتغيرات بدون ملفات: بعض منها تقدم تنزيلًا تنفيذيًا مموهًا كـ "محقق". في هذا السياق، من بين النطاقات التي لوحظت في حملات مشابهة هي human-verify-7u.pages.dev و recaptcha-manual.shop.
لماذا يكون تعافي العملات المشفرة صعبًا جدًا
السرعة هي السلاح الرئيسي للهجوم. بمجرد سرقتها، يتم نقل الأموال إلى DEX وأدوات الأتمتة التي تفصل المعاملات. لهذا السبب، تُفيد فرق تحليل البيانات على السلسلة أن غسيل الأموال يمكن أن يحدث في بضع دقائق، مما يجعل الاسترداد معقدًا للغاية.
المؤشرات الفنية ( لـ SOC/IT)
النطاقات/عناوين URL الملاحظة: human-verify-7u.pages.dev, recaptcha-manual.shop, المتغيرات على النطاقات الفرعية "human-verify" و "recaptcha-manual".
التكتيكات، التقنيات، الإجراءات (TTP): الهندسة الاجتماعية عبر التراكب؛ تنفيذ PowerShell مع تعطيل AMSI؛ تحميل DLL في الذاكرة (بدون ملف)؛ جمع بيانات الاعتماد من المتصفح والمحفظة.
إشارات شذوذ نقطة النهاية: تم تشغيل عملية powershell.exe بواسطة explorer.exe/win+r؛ نشاط شبكي فوري بعد التنفيذ؛ الوصول إلى دلائل ملفات تعريف المتصفح.
نمط الصفحة: خطأ DNS زائف + طلب "التحقق اليدوي" مع مجموعة مفاتيح Windows+R و"نسخ/لصق".
إشعار قانوني: شارك IOCs بشكل مسؤول؛ تجنب نشر الأوامر القابلة للتنفيذ أو الحمولة.
دليل سريع: الدفاع الفوري
لا تقم بلصق الأوامر المقترحة من صفحات الويب أو النوافذ المنبثقة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
CAPTCHA مزيفة، العملات المشفرة اختفت في 3 دقائق: خدعة PowerShell لـ Lumma Stealer تخدع 1 ...
تؤدي موجة من CAPTCHA المزيف إلى جعل المستخدمين ينفذون PowerShell على نظام ويندوز، مما يؤدي إلى تفعيل لص العملات المشفرة Lumma Stealer. وفقًا لتحليل DNSFilter، تم تسجيل 23 تفاعلًا في 72 ساعة، حيث اتبع 17% من الزوار التعليمات المعروضة على الشاشة (DNSFilter). النتيجة الفورية: تم إفراغ محافظ العملات المشفرة وغسل الأموال في أقل من 3 دقائق.
وفقًا للبيانات التي جمعها فرق الاستجابة للحوادث التي قامت بتحليل الصفحات المحظورة بين 14 و 17 أغسطس 2025، فإن نافذة التشغيل لمنع أول تحويل للأموال غالبًا ما تكون أقل من 180 ثانية. كما يلاحظ محللو الصناعة أن الحملات التي تحتوي على طبقات مقنعة تسجل معدلات تحويل تتراوح بين 12% و 20%، وهو ما يتماشى مع 17% التي تم اكتشافها بواسطة DNSFilter.
البيانات الرئيسية: 17% من "التحويل" عند تنفيذ الأمر.
التكتيك: طبقة تحقق تحاكي فحص مضاد للبوت وتوجه تنفيذ PowerShell.
التأثير: سرقة بيانات الاعتماد، الكوكيز، 2FA، وعملة المحفظة مع تحقيق الربح تقريبًا على الفور.
مثال على CAPTCHA زائف يحث على التحقق "يدويًا": علامة تحذير لا ينبغي تجاهلها.
كيف يعمل الخداع: من "أنا لست روبوتًا" المزيفة إلى البرمجيات الخبيثة في الذاكرة
تقوم CAPTCHAs الزائفة بمحاكاة الكلاسيكية "لست روبوتًا"، ولكن بدلاً من التحقق من الوصول، تطلب من المستخدم الضغط على Windows+R ولصق أمر. هذا يبدأ تنفيذ PowerShell الذي يقوم بتحميل DLL المرتبط بـ Lumma Stealer إلى الذاكرة، غالبًا باستخدام تقنية بدون ملفات لتجنب برامج مكافحة الفيروسات التقليدية.
يمكن للبرامج الضارة تعطيل أو تجاوز عناصر التحكم في وقت التشغيل مثل AMSI (واجهة مسح البرامج الضارة) لإخفاء الحمولات المحملة في الذاكرة. جانب مثير للاهتمام هو سرعة الجمع: بمجرد أن تصبح نشطة، تستخرج البرامج الضارة كلمات المرور المحفوظة، وملفات تعريف الارتباط، ورموز الجلسة، ورموز المصادقة الثنائية، وبيانات محفظة العملات المشفرة.
الحالة التي تم ملاحظتها بواسطة DNSFilter: تراكب على المواقع الشرعية
تم تفعيل التنبيه عندما اكتشف مزود مُدار طبقة تحقق على موقع مصرفي أوروبي: حيث عرض خطأ DNS مزيف وطلب "تحقق يدوي". ثم تم توجيه المستخدم لتنفيذ PowerShell، مما أدى إلى تنزيل وتنفيذ حمولة Lumma. خلال ثلاثة أيام، تم حظر 23 صفحة مشابهة؛ يجب أن يُلاحظ أن ما يقرب من 1 من كل 6 مستخدمين قاموا بمتابعة الخطوات المقترحة.
جدول زمني لسرقة في 3 دقائق
الدخول: يقوم المستخدم بزيارة موقع شرعي أو صفحة مقلدة؛ يظهر CAPTCHA مزيف مع خطأ DNS.
الهندسة الاجتماعية: الصفحة تدعو إلى "تحقق" من الوصول باستخدام Windows+R وأمر مُجمع مسبقًا.
التنفيذ: تعطل PowerShell عناصر التحكم مثل AMSI، وتحميل DLL Lumma Stealer، وتبقى في الذاكرة (fileless).
الاستغلال: يقوم البرمجيات الضارة بجمع بيانات اعتماد المتصفح، الكوكيز، 2FA، المفتاح السري، وبيانات المحفظة من العملات المشفرة.
تحقيق الدخل: يتم استخدام المفاتيح لنقل الأموال على DEX والم mixers؛ يحدث غسيل الأموال في دقائق.
الانتشار، المتغيرات، والمجالات ذات الصلة
تم اكتشاف الحملة بشكل متكرر في نطاق ضيق، حيث تتغير الصفحات النطاق والرسوميات لتفادي الحظر. ليست جميع المتغيرات بدون ملفات: بعض منها تقدم تنزيلًا تنفيذيًا مموهًا كـ "محقق". في هذا السياق، من بين النطاقات التي لوحظت في حملات مشابهة هي human-verify-7u.pages.dev و recaptcha-manual.shop.
لماذا يكون تعافي العملات المشفرة صعبًا جدًا
السرعة هي السلاح الرئيسي للهجوم. بمجرد سرقتها، يتم نقل الأموال إلى DEX وأدوات الأتمتة التي تفصل المعاملات. لهذا السبب، تُفيد فرق تحليل البيانات على السلسلة أن غسيل الأموال يمكن أن يحدث في بضع دقائق، مما يجعل الاسترداد معقدًا للغاية.
المؤشرات الفنية ( لـ SOC/IT)
النطاقات/عناوين URL الملاحظة: human-verify-7u.pages.dev, recaptcha-manual.shop, المتغيرات على النطاقات الفرعية "human-verify" و "recaptcha-manual".
التكتيكات، التقنيات، الإجراءات (TTP): الهندسة الاجتماعية عبر التراكب؛ تنفيذ PowerShell مع تعطيل AMSI؛ تحميل DLL في الذاكرة (بدون ملف)؛ جمع بيانات الاعتماد من المتصفح والمحفظة.
إشارات شذوذ نقطة النهاية: تم تشغيل عملية powershell.exe بواسطة explorer.exe/win+r؛ نشاط شبكي فوري بعد التنفيذ؛ الوصول إلى دلائل ملفات تعريف المتصفح.
نمط الصفحة: خطأ DNS زائف + طلب "التحقق اليدوي" مع مجموعة مفاتيح Windows+R و"نسخ/لصق".
إشعار قانوني: شارك IOCs بشكل مسؤول؛ تجنب نشر الأوامر القابلة للتنفيذ أو الحمولة.
دليل سريع: الدفاع الفوري
لا تقم بلصق الأوامر المقترحة من صفحات الويب أو النوافذ المنبثقة.
قم بإعداد كتل DNS وتصفية المحتوى للنطاقات المشبوهة وفئات الإعلانات الضارة.
حصر تنفيذ سكريبتات PowerShell للمستخدمين غير الإداريين؛ تفعيل وضع اللغة المقيد حيثما أمكن.
قم بتمكين ومراقبة حلول AMSI و EDR مع قواعد على العمليات في الذاكرة.
افصل استخدام المحافظ عن المتصفح الرئيسي؛ وفضل المحافظ المادية.
تعطيل حفظ كلمات المرور في المتصفح؛ استخدم مدير كلمات المرور مع MFA.
تدريب المستخدمين بأمثلة حقيقية عن التصيد الاحتيالي وCAPTCHA مزيف على المواقع الحساسة.
تدابير مضادة للشركات
تقسيم الشبكة والحواجز على مستوى الوكيل / DNS للنطاقات المسجلة حديثًا وأنماط "التحقق البشري / reCAPTCHA يدوي".
سياسة الحافظة على الأجهزة المدارة؛ تنبيه عند قيام موقع ما بتحفيز النسخ/اللصق للأوامر.
صيد التهديدات على سلاسل حقن العمليات وعلى التنفيذات الشاذة لـ powershell.exe.
كتاب اللعب للتصعيد الفوري: عزل المضيف، إلغاء الجلسة، تدوير الاعتماد، إبطال الرمز والكوكي.
تحديد الأضرار بعد السرقة
عزل الجهاز على الفور وإلغاء الجلسات النشطة على الخدمات الحيوية.
إعادة توليد عبارة البذور ونقل الأموال إلى محافظ آمنة وغير مخترقة.
قم بتمكين MFA على التطبيقات بشكل مستقل عن المتصفح؛ تجنب الآليات المرتبطة بالكوكيز أو الجلسات المتزامنة.
الأسئلة المتكررة
كيف تتعرف على CAPTCHA مزيف؟
كن حذرًا من الصفحات التي تطلب Windows+R، أو النسخ/اللصق للأوامر، أو تحميل "المحققين". في حال الشك، تحقق من عنوان URL وأغلق الصفحة.
هل هو دائمًا هجوم بلا ملف؟
لا. بعض المتغيرات تقوم بتنزيل ملف تنفيذي تقليدي؛ بينما تعمل أخرى بالكامل في الذاكرة لتقليل الآثار على القرص.
ما هي البيانات التي يهدفون إلى سرقتها؟
بيانات اعتماد المتصفحات، الكوكيز، 2FA، البيانات والمفاتيح لمحفظة العملات المشفرة.
المصادر والرؤى