Uma onda de CAPTCHA falso está a levar os utilizadores a executar PowerShell no Windows, desencadeando o ladrão de criptomoedas Lumma Stealer. De acordo com uma análise da DNSFilter, 23 interações em 72 horas foram registadas, com 17% dos visitantes a seguir as instruções exibidas no ecrã (DNSFilter). Resultado imediato: carteiras de criptomoedas esvaziadas e fundos lavados em menos de 3 minutos.
De acordo com os dados coletados pelas equipas de resposta a incidentes que analisaram as páginas bloqueadas entre 14 e 17 de agosto de 2025, a janela operacional para prevenir a primeira transferência de fundos é frequentemente inferior a 180 segundos. Analistas do setor também observam que campanhas com sobreposições persuasivas registram taxas de conversão entre 12% e 20%, consistente com os 17% detectados pela DNSFilter.
Dados chave: 17% de "conversão" após a execução do comando.
Tática: sobreposição de verificação que simula um verificação anti-bot e orienta a execução do PowerShell.
Impacto: roubo de credenciais, cookies, 2FA e cripto de carteira com quase monetização instantânea.
Um exemplo de CAPTCHA falso que solicita uma verificação “manual”: um sinal de aviso a não ser ignorado.
Como funciona a decepção: do falso "Eu não sou um robô" ao malware em memória
Os falsos CAPTCHAs imitam o clássico "Não sou um robô", mas em vez de validar o acesso, pedem ao utilizador que pressione Windows+R e cole um comando. Isto inicia uma execução do PowerShell que faz o download e carrega na memória uma DLL ligada ao Lumma Stealer, muitas vezes utilizando uma técnica sem ficheiros para evadir software antivírus tradicional.
Malware pode desativar ou contornar controles de tempo de execução como AMSI (Antimalware Scan Interface) para ocultar cargas úteis carregadas na memória. Um aspecto interessante é a velocidade de coleta: uma vez ativo, o malware extrai senhas salvas, cookies, tokens de sessão, códigos de 2FA e dados de carteiras de criptomoedas.
O caso observado pelo DNSFilter: sobreposição em sites legítimos
O alerta foi acionado quando um fornecedor gerido detectou uma sobreposição de verificação num site bancário europeu: exibiu um erro de DNS falso e exigiu uma "verificação manual." O utilizador foi então orientado a executar PowerShell, iniciando o download e a execução da carga útil Lumma. Em três dias, 23 páginas semelhantes foram bloqueadas; deve-se notar que quase 1 em 6 utilizadores seguiu os passos propostos.
Linha do tempo de um roubo em 3 minutos
Entrada: o utilizador visita um site legítimo ou uma página clonada; aparece um CAPTCHA falso com erro de DNS.
Engenharia social: a página convida a "validar" o acesso com Windows+R e um comando pré-compilado.
Execução: PowerShell desativa controles como AMSI, carrega uma DLL Lumma Stealer e permanece na memória (fileless).
Exfiltração: o malware coleta credenciais de navegador, cookies, 2FA, seed e dados de carteira de cripto.
Monetização: as chaves são usadas para transferir fundos em DEX e misturadores; a lavagem ocorre em minutos.
Espalhar, variantes e domínios relacionados
A campanha foi detectada repetidamente em uma faixa estreita, com páginas mudando de domínio e gráficos para evitar bloqueios. Nem todas as variantes são sem arquivo: algumas oferecem um download executável disfarçado como um “verificador.” Nesse contexto, entre os domínios observados em campanhas semelhantes estão human-verify-7u.pages.dev e recaptcha-manual.shop.
Por que a recuperação das criptomoedas é tão difícil
A velocidade é a principal arma do ataque. Uma vez roubados, os fundos são movidos para DEX e ferramentas de automação que fragmentam as transações. Por esta razão, as equipas de análise on-chain relatam que a lavagem pode ocorrer em poucos minutos, tornando a recuperação extremamente complexa.
Indicadores técnicos ( para SOC/IT)
Domínios/URLs Observados: human-verify-7u.pages.dev, recaptcha-manual.shop, variantes nos subdomínios "human-verify" e "recaptcha-manual".
Táticas, Técnicas, Procedimentos (TTP): engenharia social via sobreposição; execução de PowerShell com desativação do AMSI; carregamento de DLL na memória (fileless); coleta de credenciais do navegador e carteira.
Sinais de anomalia de endpoint: processo powershell.exe iniciado por explorer.exe/win+r; atividade de rede imediata após a execução; acesso a diretórios de perfis de navegador.
Padrão de página: erro de DNS falso + pedido de "verificação manual" com a combinação Windows+R e "copiar/colar".
Aviso legal: partilhe IOCs de forma responsável; evite espalhar comandos executáveis ou payloads.
Guia Rápido: Defesa Imediata
Não cole comandos sugeridos por páginas da web ou pop-ups.
Configure blocos de DNS e filtragem de conteúdo para domínios suspeitos e categorias de malvertising.
Limite a execução de scripts PowerShell para utilizadores não administradores; ative o Modo de Linguagem Constrangido sempre que possível.
Ative e monitore soluções AMSI e EDR com regras em processos na memória.
Separe o uso de carteiras do navegador principal; prefira carteiras de hardware.
Desativar o armazenamento de passwords no navegador; usar um gestor de passwords com MFA.
Treinar os utilizadores com exemplos reais de phishing e CAPTCHA falsos em sites sensíveis.
Contramedidas para empresas
Segmentação de rede e blocos a nível de proxy/DNS para domínios recém-registrados e padrões de "verificação-humana/recaptcha-manual".
Política de área de transferência em dispositivos geridos; alerta quando um site induz a copiar/colar comandos.
Caça a ameaças em cadeias de injeção de processos e em execuções anómalas do powershell.exe.
Plano de escalonamento imediato: isolamento de anfitrião, revogação de sessão, rotação de credenciais, invalidação de token e cookie.
Limitar os danos após o roubo
Isolar imediatamente o dispositivo e revogar sessões ativas em serviços críticos.
Regenerar a frase-semente e mover os fundos para carteiras seguras e não comprometidas.
Ative a MFA em aplicativos independentes do navegador; evite mecanismos vinculados a cookies ou sessões sincronizadas.
FAQ
Como reconhecer um CAPTCHA falso?
Tenha cuidado com páginas que pedem Windows+R, cópia/colagem de comandos ou download de "verificadores". Em caso de dúvida, verifique a URL e feche a página.
É sempre um ataque sem ficheiro?
Não. Algumas variantes descarregam um executável tradicional; outras operam inteiramente na memória para reduzir vestígios no disco.
Quais dados eles estão a tentar roubar?
Credenciais de navegadores, cookies, 2FA, dados e chaves de carteira cripto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
CAPTCHAs falsos, criptomoeda desapareceu em 3 minutos: o truque PowerShell do Lumma Stealer engana 1 ...
Uma onda de CAPTCHA falso está a levar os utilizadores a executar PowerShell no Windows, desencadeando o ladrão de criptomoedas Lumma Stealer. De acordo com uma análise da DNSFilter, 23 interações em 72 horas foram registadas, com 17% dos visitantes a seguir as instruções exibidas no ecrã (DNSFilter). Resultado imediato: carteiras de criptomoedas esvaziadas e fundos lavados em menos de 3 minutos.
De acordo com os dados coletados pelas equipas de resposta a incidentes que analisaram as páginas bloqueadas entre 14 e 17 de agosto de 2025, a janela operacional para prevenir a primeira transferência de fundos é frequentemente inferior a 180 segundos. Analistas do setor também observam que campanhas com sobreposições persuasivas registram taxas de conversão entre 12% e 20%, consistente com os 17% detectados pela DNSFilter.
Dados chave: 17% de "conversão" após a execução do comando.
Tática: sobreposição de verificação que simula um verificação anti-bot e orienta a execução do PowerShell.
Impacto: roubo de credenciais, cookies, 2FA e cripto de carteira com quase monetização instantânea.
Um exemplo de CAPTCHA falso que solicita uma verificação “manual”: um sinal de aviso a não ser ignorado.
Como funciona a decepção: do falso "Eu não sou um robô" ao malware em memória
Os falsos CAPTCHAs imitam o clássico "Não sou um robô", mas em vez de validar o acesso, pedem ao utilizador que pressione Windows+R e cole um comando. Isto inicia uma execução do PowerShell que faz o download e carrega na memória uma DLL ligada ao Lumma Stealer, muitas vezes utilizando uma técnica sem ficheiros para evadir software antivírus tradicional.
Malware pode desativar ou contornar controles de tempo de execução como AMSI (Antimalware Scan Interface) para ocultar cargas úteis carregadas na memória. Um aspecto interessante é a velocidade de coleta: uma vez ativo, o malware extrai senhas salvas, cookies, tokens de sessão, códigos de 2FA e dados de carteiras de criptomoedas.
O caso observado pelo DNSFilter: sobreposição em sites legítimos
O alerta foi acionado quando um fornecedor gerido detectou uma sobreposição de verificação num site bancário europeu: exibiu um erro de DNS falso e exigiu uma "verificação manual." O utilizador foi então orientado a executar PowerShell, iniciando o download e a execução da carga útil Lumma. Em três dias, 23 páginas semelhantes foram bloqueadas; deve-se notar que quase 1 em 6 utilizadores seguiu os passos propostos.
Linha do tempo de um roubo em 3 minutos
Entrada: o utilizador visita um site legítimo ou uma página clonada; aparece um CAPTCHA falso com erro de DNS.
Engenharia social: a página convida a "validar" o acesso com Windows+R e um comando pré-compilado.
Execução: PowerShell desativa controles como AMSI, carrega uma DLL Lumma Stealer e permanece na memória (fileless).
Exfiltração: o malware coleta credenciais de navegador, cookies, 2FA, seed e dados de carteira de cripto.
Monetização: as chaves são usadas para transferir fundos em DEX e misturadores; a lavagem ocorre em minutos.
Espalhar, variantes e domínios relacionados
A campanha foi detectada repetidamente em uma faixa estreita, com páginas mudando de domínio e gráficos para evitar bloqueios. Nem todas as variantes são sem arquivo: algumas oferecem um download executável disfarçado como um “verificador.” Nesse contexto, entre os domínios observados em campanhas semelhantes estão human-verify-7u.pages.dev e recaptcha-manual.shop.
Por que a recuperação das criptomoedas é tão difícil
A velocidade é a principal arma do ataque. Uma vez roubados, os fundos são movidos para DEX e ferramentas de automação que fragmentam as transações. Por esta razão, as equipas de análise on-chain relatam que a lavagem pode ocorrer em poucos minutos, tornando a recuperação extremamente complexa.
Indicadores técnicos ( para SOC/IT)
Domínios/URLs Observados: human-verify-7u.pages.dev, recaptcha-manual.shop, variantes nos subdomínios "human-verify" e "recaptcha-manual".
Táticas, Técnicas, Procedimentos (TTP): engenharia social via sobreposição; execução de PowerShell com desativação do AMSI; carregamento de DLL na memória (fileless); coleta de credenciais do navegador e carteira.
Sinais de anomalia de endpoint: processo powershell.exe iniciado por explorer.exe/win+r; atividade de rede imediata após a execução; acesso a diretórios de perfis de navegador.
Padrão de página: erro de DNS falso + pedido de "verificação manual" com a combinação Windows+R e "copiar/colar".
Aviso legal: partilhe IOCs de forma responsável; evite espalhar comandos executáveis ou payloads.
Guia Rápido: Defesa Imediata
Não cole comandos sugeridos por páginas da web ou pop-ups.
Configure blocos de DNS e filtragem de conteúdo para domínios suspeitos e categorias de malvertising.
Limite a execução de scripts PowerShell para utilizadores não administradores; ative o Modo de Linguagem Constrangido sempre que possível.
Ative e monitore soluções AMSI e EDR com regras em processos na memória.
Separe o uso de carteiras do navegador principal; prefira carteiras de hardware.
Desativar o armazenamento de passwords no navegador; usar um gestor de passwords com MFA.
Treinar os utilizadores com exemplos reais de phishing e CAPTCHA falsos em sites sensíveis.
Contramedidas para empresas
Segmentação de rede e blocos a nível de proxy/DNS para domínios recém-registrados e padrões de "verificação-humana/recaptcha-manual".
Política de área de transferência em dispositivos geridos; alerta quando um site induz a copiar/colar comandos.
Caça a ameaças em cadeias de injeção de processos e em execuções anómalas do powershell.exe.
Plano de escalonamento imediato: isolamento de anfitrião, revogação de sessão, rotação de credenciais, invalidação de token e cookie.
Limitar os danos após o roubo
Isolar imediatamente o dispositivo e revogar sessões ativas em serviços críticos.
Regenerar a frase-semente e mover os fundos para carteiras seguras e não comprometidas.
Ative a MFA em aplicativos independentes do navegador; evite mecanismos vinculados a cookies ou sessões sincronizadas.
FAQ
Como reconhecer um CAPTCHA falso?
Tenha cuidado com páginas que pedem Windows+R, cópia/colagem de comandos ou download de "verificadores". Em caso de dúvida, verifique a URL e feche a página.
É sempre um ataque sem ficheiro?
Não. Algumas variantes descarregam um executável tradicional; outras operam inteiramente na memória para reduzir vestígios no disco.
Quais dados eles estão a tentar roubar?
Credenciais de navegadores, cookies, 2FA, dados e chaves de carteira cripto.
Fontes e insights