Волна поддельных CAPTCHA заставляет пользователей выполнять PowerShell на Windows, что приводит к запуску крипто-вора Lumma Stealer. Согласно анализу DNSFilter, было зафиксировано 23 взаимодействия за 72 часа, при этом 17% посетителей следовали инструкциям, отображаемым на экране (DNSFilter). Немедленный результат: крипто-кошельки опустошены, а средства отмыты менее чем за 3 минуты.
Согласно данным, собранным командами реагирования на инциденты, которые анализировали заблокированные страницы между 14 и 17 августа 2025 года, оперативное окно для предотвращения первого перевода средств часто составляет менее 180 секунд. Аналитики отрасли также отмечают, что кампании с убедительными наложениями фиксируют коэффициенты конверсии от 12% до 20%, что соответствует 17%, обнаруженным DNSFilter.
Ключевые данные: 17% «конверсии» при выполнении команды.
Тактика: оверлей проверки, который имитирует проверку против ботов и направляет выполнение PowerShell.
Последствия: кража учетных данных, куки, 2FA и криптовалюты из кошелька с почти мгновенной монетизацией.
Пример ложного CAPTCHA, который запрашивает "ручную" проверку: предупреждающий знак, который нельзя игнорировать.
Как работает обман: от поддельного «Я не робот» до вредоносного ПО в памяти
Ложные CAPTCHA имитируют классическую фразу «Я не робот», но вместо проверки доступа они предлагают пользователю нажать Windows+R и вставить команду. Это инициирует выполнение PowerShell, которое загружает и загружает в память DLL, связанную с Lumma Stealer, часто используя безфайловую технику для уклонения от традиционного антивирусного программного обеспечения.
Вредоносное ПО может отключать или обойти средства контроля выполнения, такие как AMSI (Antimalware Scan Interface), чтобы скрыть полезные нагрузки, загруженные в память. Интересный аспект — это скорость сбора: как только вредоносное ПО становится активным, оно извлекает сохраненные пароли, куки, токены сеансов, коды 2FA и данные кошельков криптовалют.
Случай, наблюдаемый DNSFilter: наложение на законные сайты
Сигнализация была активирована, когда управляемый провайдер обнаружил наложение проверки на европейском банковском сайте: он показал поддельную ошибку DNS и потребовал «ручной проверки». Пользователь затем был направлен выполнять PowerShell, что привело к загрузке и выполнению вредоносной программы Lumma. За три дня было заблокировано 23 аналогичные страницы; следует отметить, что почти 1 из 6 пользователей следовал предложенным шагам.
Хронология кражи за 3 минуты
Вход: пользователь посещает легитимный сайт или клонированную страницу; появляется ложный CAPTCHA с ошибкой DNS.
Социальная инженерия: страница предлагает "валидировать" доступ с помощью Windows+R и заранее скомпилированной команды.
Выполнение: PowerShell отключает такие элементы управления, как AMSI, загружает DLL Lumma Stealer и остается в памяти (fileless).
Экстракция: вредоносное ПО собирает учетные данные браузера, куки, 2FA, сид, и данные кошелька из криптовалюты.
Монетизация: ключи используются для перевода средств на DEX и миксерах; отмывание происходит за минуты.
Распространение, варианты и связанные области
Кампания была многократно обнаружена в узком диапазоне, причем страницы меняют домены и графику, чтобы избежать блокировок. Не все варианты являются безфайловыми: некоторые предлагают загрузку исполняемого файла, замаскированного под «верификатор». В этом контексте среди доменов, наблюдаемых в подобных кампаниях, находятся human-verify-7u.pages.dev и recaptcha-manual.shop.
Почему восстановление криптовалюты так трудно
Скорость является основным оружием атаки. Как только средства украдены, они перемещаются на DEX и в автоматизированные инструменты, которые фрагментируют транзакции. По этой причине команды по анализу в блокчейне сообщают, что отмывание может происходить за несколько минут, что делает восстановление крайне сложным.
Технические индикаторы (для SOC/IT)
Наблюдаемые домены/URL-адреса: human-verify-7u.pages.dev, recaptcha-manual.shop, варианты на поддоменах "human-verify" и "recaptcha-manual".
Тактика, Техники, Процедуры (TTP): социальная инженерия через наложение; выполнение PowerShell с деактивацией AMSI; загрузка DLL в памяти (fileless); сбор учетных данных из браузера и кошелька.
Сигналы аномалий конечной точки: процесс powershell.exe, запущенный explorer.exe/win+r; немедленная сетевая активность после выполнения; доступ к директориям профиля браузера.
Шаблон страницы: поддельная ошибка DNS + запрос на "ручную проверку" с помощью комбинации Windows+R и "копировать/вставить".
Юридическое уведомление: делитесь IOC ответственно; избегайте распространения исполняемых команд или полезных нагрузок.
Быстрое руководство: Непосредственная защита
Не вставляйте команды, предложенные веб-страницами или всплывающими окнами.
Настройте DNS-блокировки и фильтрацию контента для подозрительных доменов и категорий малварейной рекламы.
Ограничьте выполнение скриптов PowerShell для пользователей, не являющихся администраторами; включите режим ограниченного языка, где это возможно.
Включите и контролируйте решения AMSI и EDR с правилами для процессов в памяти.
Отделите использование кошельков от основного браузера; предпочитайте аппаратные кошельки.
Отключите сохранение паролей в браузере; используйте менеджер паролей с MFA.
Обучайте пользователей на реальных примерах фишинга и поддельного CAPTCHA на чувствительных сайтах.
Контрмеры для компаний
Сегментация сети и блокировки на уровне прокси/DNS для вновь зарегистрированных доменов и паттернов "human-verify/recaptcha-manual".
Политика буфера обмена на управляемых устройствах; оповещение, когда сайт вызывает копирование/вставку команд.
Поиск угроз в цепочках инъекций процессов и аномальных выполнения powershell.exe.
Немедленный план эскалации: изоляция хоста, отзыв сессии, ротация учетных данных, аннулирование токена и куки.
Ограничение ущерба после кражи
Немедленно изолируйте устройство и отмените активные сессии на критически важных сервисах.
Сгенерируйте заново сид-фразу и переместите средства в безопасные, некомпрометированные кошельки.
Включите MFA в приложениях независимо от браузера; избегайте механизмов, связанных с cookie или синхронизированными сессиями.
Часто задаваемые вопросы
Как распознать фальшивый CAPTCHA?
Будьте осторожны с страницами, которые требуют Windows+R, копирования/вставки команд или загрузки "верификаторов". В случае сомнений проверьте URL и закройте страницу.
Это всегда атака без файлов?
Нет. Некоторые варианты загружают традиционный исполняемый файл; другие работают полностью в памяти, чтобы уменьшить следы на диске.
Какие данные они стремятся украсть?
Учетные данные браузеров, куки, 2FA, данные и ключи криптовалютного кошелька.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Поддельные CAPTCHA, криптовалюта исчезла за 3 минуты: трюк PowerShell Lumma Stealer обманул 1 ...
Волна поддельных CAPTCHA заставляет пользователей выполнять PowerShell на Windows, что приводит к запуску крипто-вора Lumma Stealer. Согласно анализу DNSFilter, было зафиксировано 23 взаимодействия за 72 часа, при этом 17% посетителей следовали инструкциям, отображаемым на экране (DNSFilter). Немедленный результат: крипто-кошельки опустошены, а средства отмыты менее чем за 3 минуты.
Согласно данным, собранным командами реагирования на инциденты, которые анализировали заблокированные страницы между 14 и 17 августа 2025 года, оперативное окно для предотвращения первого перевода средств часто составляет менее 180 секунд. Аналитики отрасли также отмечают, что кампании с убедительными наложениями фиксируют коэффициенты конверсии от 12% до 20%, что соответствует 17%, обнаруженным DNSFilter.
Ключевые данные: 17% «конверсии» при выполнении команды.
Тактика: оверлей проверки, который имитирует проверку против ботов и направляет выполнение PowerShell.
Последствия: кража учетных данных, куки, 2FA и криптовалюты из кошелька с почти мгновенной монетизацией.
Пример ложного CAPTCHA, который запрашивает "ручную" проверку: предупреждающий знак, который нельзя игнорировать.
Как работает обман: от поддельного «Я не робот» до вредоносного ПО в памяти
Ложные CAPTCHA имитируют классическую фразу «Я не робот», но вместо проверки доступа они предлагают пользователю нажать Windows+R и вставить команду. Это инициирует выполнение PowerShell, которое загружает и загружает в память DLL, связанную с Lumma Stealer, часто используя безфайловую технику для уклонения от традиционного антивирусного программного обеспечения.
Вредоносное ПО может отключать или обойти средства контроля выполнения, такие как AMSI (Antimalware Scan Interface), чтобы скрыть полезные нагрузки, загруженные в память. Интересный аспект — это скорость сбора: как только вредоносное ПО становится активным, оно извлекает сохраненные пароли, куки, токены сеансов, коды 2FA и данные кошельков криптовалют.
Случай, наблюдаемый DNSFilter: наложение на законные сайты
Сигнализация была активирована, когда управляемый провайдер обнаружил наложение проверки на европейском банковском сайте: он показал поддельную ошибку DNS и потребовал «ручной проверки». Пользователь затем был направлен выполнять PowerShell, что привело к загрузке и выполнению вредоносной программы Lumma. За три дня было заблокировано 23 аналогичные страницы; следует отметить, что почти 1 из 6 пользователей следовал предложенным шагам.
Хронология кражи за 3 минуты
Вход: пользователь посещает легитимный сайт или клонированную страницу; появляется ложный CAPTCHA с ошибкой DNS.
Социальная инженерия: страница предлагает "валидировать" доступ с помощью Windows+R и заранее скомпилированной команды.
Выполнение: PowerShell отключает такие элементы управления, как AMSI, загружает DLL Lumma Stealer и остается в памяти (fileless).
Экстракция: вредоносное ПО собирает учетные данные браузера, куки, 2FA, сид, и данные кошелька из криптовалюты.
Монетизация: ключи используются для перевода средств на DEX и миксерах; отмывание происходит за минуты.
Распространение, варианты и связанные области
Кампания была многократно обнаружена в узком диапазоне, причем страницы меняют домены и графику, чтобы избежать блокировок. Не все варианты являются безфайловыми: некоторые предлагают загрузку исполняемого файла, замаскированного под «верификатор». В этом контексте среди доменов, наблюдаемых в подобных кампаниях, находятся human-verify-7u.pages.dev и recaptcha-manual.shop.
Почему восстановление криптовалюты так трудно
Скорость является основным оружием атаки. Как только средства украдены, они перемещаются на DEX и в автоматизированные инструменты, которые фрагментируют транзакции. По этой причине команды по анализу в блокчейне сообщают, что отмывание может происходить за несколько минут, что делает восстановление крайне сложным.
Технические индикаторы (для SOC/IT)
Наблюдаемые домены/URL-адреса: human-verify-7u.pages.dev, recaptcha-manual.shop, варианты на поддоменах "human-verify" и "recaptcha-manual".
Тактика, Техники, Процедуры (TTP): социальная инженерия через наложение; выполнение PowerShell с деактивацией AMSI; загрузка DLL в памяти (fileless); сбор учетных данных из браузера и кошелька.
Сигналы аномалий конечной точки: процесс powershell.exe, запущенный explorer.exe/win+r; немедленная сетевая активность после выполнения; доступ к директориям профиля браузера.
Шаблон страницы: поддельная ошибка DNS + запрос на "ручную проверку" с помощью комбинации Windows+R и "копировать/вставить".
Юридическое уведомление: делитесь IOC ответственно; избегайте распространения исполняемых команд или полезных нагрузок.
Быстрое руководство: Непосредственная защита
Не вставляйте команды, предложенные веб-страницами или всплывающими окнами.
Настройте DNS-блокировки и фильтрацию контента для подозрительных доменов и категорий малварейной рекламы.
Ограничьте выполнение скриптов PowerShell для пользователей, не являющихся администраторами; включите режим ограниченного языка, где это возможно.
Включите и контролируйте решения AMSI и EDR с правилами для процессов в памяти.
Отделите использование кошельков от основного браузера; предпочитайте аппаратные кошельки.
Отключите сохранение паролей в браузере; используйте менеджер паролей с MFA.
Обучайте пользователей на реальных примерах фишинга и поддельного CAPTCHA на чувствительных сайтах.
Контрмеры для компаний
Сегментация сети и блокировки на уровне прокси/DNS для вновь зарегистрированных доменов и паттернов "human-verify/recaptcha-manual".
Политика буфера обмена на управляемых устройствах; оповещение, когда сайт вызывает копирование/вставку команд.
Поиск угроз в цепочках инъекций процессов и аномальных выполнения powershell.exe.
Немедленный план эскалации: изоляция хоста, отзыв сессии, ротация учетных данных, аннулирование токена и куки.
Ограничение ущерба после кражи
Немедленно изолируйте устройство и отмените активные сессии на критически важных сервисах.
Сгенерируйте заново сид-фразу и переместите средства в безопасные, некомпрометированные кошельки.
Включите MFA в приложениях независимо от браузера; избегайте механизмов, связанных с cookie или синхронизированными сессиями.
Часто задаваемые вопросы
Как распознать фальшивый CAPTCHA?
Будьте осторожны с страницами, которые требуют Windows+R, копирования/вставки команд или загрузки "верификаторов". В случае сомнений проверьте URL и закройте страницу.
Это всегда атака без файлов?
Нет. Некоторые варианты загружают традиционный исполняемый файл; другие работают полностью в памяти, чтобы уменьшить следы на диске.
Какие данные они стремятся украсть?
Учетные данные браузеров, куки, 2FA, данные и ключи криптовалютного кошелька.
Источники и идеи