Хвиля фальшивих CAPTCHA провідний користувачів до виконання PowerShell на Windows, що викликає криптозлодія Lumma Stealer. Згідно з аналізом DNSFilter, зафіксовано 23 взаємодії за 72 години, з яких 17% відвідувачів підписалися на інструкції, показані на екрані (DNSFilter). Негайний результат: криптогаманці спорожнені, а кошти відмиті менш ніж за 3 хвилини.
Згідно з даними, зібраними командами реагування на інциденти, які аналізували заблоковані сторінки з 14 по 17 серпня 2025 року, операційний вікно для запобігання першому переказу коштів часто становить менше 180 секунд. Аналітики галузі також зазначають, що кампанії з переконливими накладками фіксують рівень конверсії від 12% до 20%, що відповідає 17%, виявленим DNSFilter.
Ключові дані: 17% "конверсії" під час виконання команди.
Тактика: накладення перевірки, яке імітує перевірку на наявність ботів і керує виконанням PowerShell.
Вплив: крадіжка облікових даних, куків, 2FA та криптовалюти гаманця з майже миттєвою монетизацією.
Приклад фальшивого CAPTCHA, який запитує "ручну" перевірку: знак попередження, який не слід ігнорувати.
Як працює обман: від фальшивого "Я не робот" до шкідливого ПЗ в пам'яті
Помилкові CAPTCHAs імітують класичний "Я не робот", але замість перевірки доступу вони просять користувача натиснути Windows+R та вставити команду. Це ініціює виконання PowerShell, яке завантажує та завантажує в пам'ять DLL, пов'язану з Lumma Stealer, часто використовуючи безфайлову техніку для ухилення від традиційного антивірусного програмного забезпечення.
Шкідливе програмне забезпечення може вимкнути або обійти контрольні механізми виконання, такі як AMSI (Antimalware Scan Interface), щоб приховати корисні навантаження, завантажені в пам'яті. Цікавим аспектом є швидкість збору: як тільки шкідливе програмне забезпечення активується, воно витягує збережені паролі, файли cookie, токени сесій, коди 2FA та дані гаманців криптовалюти.
Справа, спостережена DNSFilter: накладка на легітимні сайти
Тривога була активована, коли керований постачальник виявив накладку перевірки на європейському банківському сайті: вона відображала підроблену помилку DNS і вимагала «ручної перевірки». Користувача потім направили виконати PowerShell, ініціюючи завантаження та виконання пакету Lumma. За три дні було заблоковано 23 подібні сторінки; слід зазначити, що майже 1 з 6 користувачів підписався на запропоновані кроки.
Хронологія крадіжки за 3 хвилини
Вхід: користувач відвідує легітимний сайт або клоновану сторінку; з'являється помилковий CAPTCHA з помилкою DNS.
Соціальна інженерія: сторінка запрошує "перевірити" доступ за допомогою Windows+R та попередньо скомпільованої команди.
Виконання: PowerShell відключає контролі, такі як AMSI, завантажує DLL Lumma Stealer і залишається в пам'яті (fileless).
Екстракція: шкідливе ПЗ збирає облікові дані браузера, куки, 2FA, насіння та дані гаманця з криптовалюти.
Монетизація: ключі використовуються для передачі коштів на DEX та міксерах; відмивання відбувається за хвилини.
Поширення, варіанти та суміжні домени
Кампанія була виявлена повторно в вузькому діапазоні, з того, що сторінки змінюють домен і графіку, щоб уникнути блокувань. Не всі варіанти безфайлові: деякі пропонують завантаження виконуваного файлу, замаскованого під «перевірник». У цьому контексті серед доменів, які спостерігалися в подібних кампаніях, є human-verify-7u.pages.dev та recaptcha-manual.shop.
Чому відновлення криптовалюти є таким складним
Швидкість є основною зброєю атаки. Як тільки кошти вкрадені, вони переміщуються на DEX та автоматизовані інструменти, які фрагментують транзакції. З цієї причини команди з ончейн-аналізу повідомляють, що відмивання може відбуватися за кілька хвилин, ускладнюючи відновлення.
Технічні індикатори (для SOC/IT)
Спостережувані домени/URL-адреси: human-verify-7u.pages.dev, recaptcha-manual.shop, варіанти на субдоменах "human-verify" та "recaptcha-manual".
Тактика, техніки, процедури (TTP): соціальна інженерія через накладення; виконання PowerShell з деактивацією AMSI; завантаження DLL в пам'яті (безфайловий); збір облікових даних з браузера та гаманця.
Сигнали аномалій кінцевої точки: процес powershell.exe, запущений explorer.exe/win+r; негайна мережна активність після виконання; доступ до каталогів профілів браузера.
Шаблон сторінки: фальшива помилка DNS + запит на "ручну перевірку" з комбінацією Windows+R та "копіювати/вставити".
Юридичне повідомлення: діліться IOCs відповідально; уникайте розповсюдження виконуваних команд або вантажів.
Швидкий посібник: Негайна оборона
Не вставляйте команди, запропоновані веб-сторінками або спливаючими вікнами.
Налаштуйте DNS-блокування та фільтрацію контенту для підозрілих доменів та категорій малверту.
Обмежити виконання скриптів PowerShell для неадміністраторів; увімкнути обмежений мовний режим, де це можливо.
Увімкніть і контролюйте рішення AMSI та EDR з правилами для процесів у пам'яті.
Окремо використовуйте гаманці від основного браузера; надавайте перевагу апаратним гаманцям.
Вимкніть збереження паролів у браузері; використовуйте менеджер паролів з MFA.
Навчайте користувачів на реальних прикладах фішингу та підроблених CAPTCHA на чутливих сайтах.
Контрзаходи для компаній
Сегментація мережі та блокування на рівні проксі/DNS для новостворених доменів та шаблонів "підтвердження особи/recaptcha-ручний".
Політика буфера обміну на керованих пристроях; сповіщення, коли сайт викликає копіювання/вставлення команд.
Полювання на загрози у ланцюгах ін'єкції процесів та аномальних виконаннях powershell.exe.
Негайний план ескалації: ізоляція хоста, відкликання сесії, ротація облікових даних, анулювання токена та файлу cookie.
Обмеження збитків після крадіжки
Негайно ізолюйте пристрій та відкличте активні сесії на критичних сервісах.
Відновіть фразу для генерації та перемістіть кошти в безпечні, некомпрометовані гаманці.
Увімкніть MFA в додатках, незалежних від браузера; уникайте механізмів, пов'язаних з cookie або синхронізованими сесіями.
Питання та відповіді
Як розпізнати фальшивий CAPTCHA?
Будьте обережні з веб-сторінками, які просять використовувати Windows+R, копіювати/вставляти команди або завантажувати "перевірники". У разі сумнівів перевірте URL-адресу та закрийте сторінку.
Це завжди атака без файлів?
Ні. Деякі варіанти завантажують традиційний виконуваний файл; інші працюють повністю в пам'яті, щоб зменшити сліди на диску.
Які дані вони намагаються вкрасти?
Облікові дані браузерів, куки, 2FA, дані та ключі криптогаманця.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Фальшиві CAPTCHA, криптовалюта зникла за 3 хвилини: трюк PowerShell Lumma Stealer обманює 1 ...
Хвиля фальшивих CAPTCHA провідний користувачів до виконання PowerShell на Windows, що викликає криптозлодія Lumma Stealer. Згідно з аналізом DNSFilter, зафіксовано 23 взаємодії за 72 години, з яких 17% відвідувачів підписалися на інструкції, показані на екрані (DNSFilter). Негайний результат: криптогаманці спорожнені, а кошти відмиті менш ніж за 3 хвилини.
Згідно з даними, зібраними командами реагування на інциденти, які аналізували заблоковані сторінки з 14 по 17 серпня 2025 року, операційний вікно для запобігання першому переказу коштів часто становить менше 180 секунд. Аналітики галузі також зазначають, що кампанії з переконливими накладками фіксують рівень конверсії від 12% до 20%, що відповідає 17%, виявленим DNSFilter.
Ключові дані: 17% "конверсії" під час виконання команди.
Тактика: накладення перевірки, яке імітує перевірку на наявність ботів і керує виконанням PowerShell.
Вплив: крадіжка облікових даних, куків, 2FA та криптовалюти гаманця з майже миттєвою монетизацією.
Приклад фальшивого CAPTCHA, який запитує "ручну" перевірку: знак попередження, який не слід ігнорувати.
Як працює обман: від фальшивого "Я не робот" до шкідливого ПЗ в пам'яті
Помилкові CAPTCHAs імітують класичний "Я не робот", але замість перевірки доступу вони просять користувача натиснути Windows+R та вставити команду. Це ініціює виконання PowerShell, яке завантажує та завантажує в пам'ять DLL, пов'язану з Lumma Stealer, часто використовуючи безфайлову техніку для ухилення від традиційного антивірусного програмного забезпечення.
Шкідливе програмне забезпечення може вимкнути або обійти контрольні механізми виконання, такі як AMSI (Antimalware Scan Interface), щоб приховати корисні навантаження, завантажені в пам'яті. Цікавим аспектом є швидкість збору: як тільки шкідливе програмне забезпечення активується, воно витягує збережені паролі, файли cookie, токени сесій, коди 2FA та дані гаманців криптовалюти.
Справа, спостережена DNSFilter: накладка на легітимні сайти
Тривога була активована, коли керований постачальник виявив накладку перевірки на європейському банківському сайті: вона відображала підроблену помилку DNS і вимагала «ручної перевірки». Користувача потім направили виконати PowerShell, ініціюючи завантаження та виконання пакету Lumma. За три дні було заблоковано 23 подібні сторінки; слід зазначити, що майже 1 з 6 користувачів підписався на запропоновані кроки.
Хронологія крадіжки за 3 хвилини
Вхід: користувач відвідує легітимний сайт або клоновану сторінку; з'являється помилковий CAPTCHA з помилкою DNS.
Соціальна інженерія: сторінка запрошує "перевірити" доступ за допомогою Windows+R та попередньо скомпільованої команди.
Виконання: PowerShell відключає контролі, такі як AMSI, завантажує DLL Lumma Stealer і залишається в пам'яті (fileless).
Екстракція: шкідливе ПЗ збирає облікові дані браузера, куки, 2FA, насіння та дані гаманця з криптовалюти.
Монетизація: ключі використовуються для передачі коштів на DEX та міксерах; відмивання відбувається за хвилини.
Поширення, варіанти та суміжні домени
Кампанія була виявлена повторно в вузькому діапазоні, з того, що сторінки змінюють домен і графіку, щоб уникнути блокувань. Не всі варіанти безфайлові: деякі пропонують завантаження виконуваного файлу, замаскованого під «перевірник». У цьому контексті серед доменів, які спостерігалися в подібних кампаніях, є human-verify-7u.pages.dev та recaptcha-manual.shop.
Чому відновлення криптовалюти є таким складним
Швидкість є основною зброєю атаки. Як тільки кошти вкрадені, вони переміщуються на DEX та автоматизовані інструменти, які фрагментують транзакції. З цієї причини команди з ончейн-аналізу повідомляють, що відмивання може відбуватися за кілька хвилин, ускладнюючи відновлення.
Технічні індикатори (для SOC/IT)
Спостережувані домени/URL-адреси: human-verify-7u.pages.dev, recaptcha-manual.shop, варіанти на субдоменах "human-verify" та "recaptcha-manual".
Тактика, техніки, процедури (TTP): соціальна інженерія через накладення; виконання PowerShell з деактивацією AMSI; завантаження DLL в пам'яті (безфайловий); збір облікових даних з браузера та гаманця.
Сигнали аномалій кінцевої точки: процес powershell.exe, запущений explorer.exe/win+r; негайна мережна активність після виконання; доступ до каталогів профілів браузера.
Шаблон сторінки: фальшива помилка DNS + запит на "ручну перевірку" з комбінацією Windows+R та "копіювати/вставити".
Юридичне повідомлення: діліться IOCs відповідально; уникайте розповсюдження виконуваних команд або вантажів.
Швидкий посібник: Негайна оборона
Не вставляйте команди, запропоновані веб-сторінками або спливаючими вікнами.
Налаштуйте DNS-блокування та фільтрацію контенту для підозрілих доменів та категорій малверту.
Обмежити виконання скриптів PowerShell для неадміністраторів; увімкнути обмежений мовний режим, де це можливо.
Увімкніть і контролюйте рішення AMSI та EDR з правилами для процесів у пам'яті.
Окремо використовуйте гаманці від основного браузера; надавайте перевагу апаратним гаманцям.
Вимкніть збереження паролів у браузері; використовуйте менеджер паролів з MFA.
Навчайте користувачів на реальних прикладах фішингу та підроблених CAPTCHA на чутливих сайтах.
Контрзаходи для компаній
Сегментація мережі та блокування на рівні проксі/DNS для новостворених доменів та шаблонів "підтвердження особи/recaptcha-ручний".
Політика буфера обміну на керованих пристроях; сповіщення, коли сайт викликає копіювання/вставлення команд.
Полювання на загрози у ланцюгах ін'єкції процесів та аномальних виконаннях powershell.exe.
Негайний план ескалації: ізоляція хоста, відкликання сесії, ротація облікових даних, анулювання токена та файлу cookie.
Обмеження збитків після крадіжки
Негайно ізолюйте пристрій та відкличте активні сесії на критичних сервісах.
Відновіть фразу для генерації та перемістіть кошти в безпечні, некомпрометовані гаманці.
Увімкніть MFA в додатках, незалежних від браузера; уникайте механізмів, пов'язаних з cookie або синхронізованими сесіями.
Питання та відповіді
Як розпізнати фальшивий CAPTCHA?
Будьте обережні з веб-сторінками, які просять використовувати Windows+R, копіювати/вставляти команди або завантажувати "перевірники". У разі сумнівів перевірте URL-адресу та закрийте сторінку.
Це завжди атака без файлів?
Ні. Деякі варіанти завантажують традиційний виконуваний файл; інші працюють повністю в пам'яті, щоб зменшити сліди на диску.
Які дані вони намагаються вкрасти?
Облікові дані браузерів, куки, 2FA, дані та ключі криптогаманця.
Джерела та інсайти