Một làn sóng CAPTCHA giả đang dẫn dắt người dùng thực thi PowerShell trên Windows, kích hoạt kẻ trộm tiền điện tử Lumma Stealer. Theo phân tích của DNSFilter, 23 tương tác trong 72 giờ đã được ghi nhận, với 17% khách truy cập theo dõi các hướng dẫn hiển thị trên màn hình (DNSFilter). Kết quả ngay lập tức: ví tiền điện tử bị rút sạch và tiền được rửa trong chưa đầy 3 phút.
Theo dữ liệu thu thập được bởi các nhóm phản ứng sự cố đã phân tích các trang bị chặn từ ngày 14 đến 17 tháng 8 năm 2025, khoảng thời gian hoạt động để ngăn chặn chuyển khoản tiền đầu tiên thường ít hơn 180 giây. Các nhà phân tích trong ngành cũng lưu ý rằng các chiến dịch với lớp phủ thuyết phục ghi nhận tỷ lệ chuyển đổi từ 12% đến 20%, nhất quán với 17% được phát hiện bởi DNSFilter.
Dữ liệu chính: 17% của "chuyển đổi" khi thực hiện lệnh.
Chiến thuật: lớp xác minh mô phỏng một kiểm tra chống bot và hướng dẫn việc thực hiện PowerShell.
Tác động: đánh cắp thông tin đăng nhập, cookie, 2FA và tiền điện tử ví với việc thanh toán gần như ngay lập tức.
Một ví dụ về CAPTCHA giả mà yêu cầu xác minh “thủ công”: một biển cảnh báo không nên bị bỏ qua.
Cách mà sự lừa đảo hoạt động: từ cái giả mạo “Tôi không phải là robot” đến phần mềm độc hại trong bộ nhớ
Các CAPTCHAs giả mạo mô phỏng lại câu hỏi cổ điển "Tôi không phải là robot", nhưng thay vì xác thực quyền truy cập, chúng yêu cầu người dùng nhấn Windows+R và dán một lệnh. Điều này khởi động một quá trình thực thi PowerShell tải xuống và nạp vào bộ nhớ một DLL liên kết với Lumma Stealer, thường sử dụng kỹ thuật không file để né tránh phần mềm diệt virus truyền thống.
Malware có thể vô hiệu hóa hoặc bỏ qua các điều khiển thời gian chạy như AMSI (Giao diện quét phần mềm độc hại) để ẩn các payload được tải trong bộ nhớ. Một khía cạnh thú vị là tốc độ thu thập: khi đã hoạt động, malware sẽ trích xuất mật khẩu đã lưu, cookie, mã phiên, mã 2FA và dữ liệu ví tiền điện tử.
Trường hợp được quan sát bởi DNSFilter: lớp phủ trên các trang hợp pháp
Cảnh báo đã được kích hoạt khi một nhà cung cấp quản lý phát hiện một lớp xác minh trên một trang ngân hàng châu Âu: nó hiển thị một lỗi DNS giả và yêu cầu một "xác minh thủ công." Người dùng sau đó được hướng dẫn thực hiện PowerShell, khởi động việc tải xuống và thực thi payload Lumma. Trong ba ngày, 23 trang tương tự đã bị chặn; cần lưu ý rằng gần 1 trong 6 người dùng đã theo dõi các bước được đề xuất.
Thời gian của một vụ trộm trong 3 phút
Nhập: người dùng truy cập vào một trang web hợp pháp hoặc một trang bị sao chép; một CAPTCHA giả với lỗi DNS xuất hiện.
Kỹ thuật xã hội: trang web mời gọi "xác thực" quyền truy cập với Windows+R và một lệnh đã biên dịch sẵn.
Thực thi: PowerShell vô hiệu hóa các điều khiển như AMSI, tải một DLL Lumma Stealer và vẫn giữ trong bộ nhớ (fileless).
Exfiltration: phần mềm độc hại thu thập thông tin đăng nhập trình duyệt, cookie, 2FA, seed và dữ liệu ví từ tiền điện tử.
Monetization: các khóa được sử dụng để chuyển tiền trên DEX và mixers; việc rửa tiền xảy ra trong vài phút.
Phổ biến, các biến thể, và các lĩnh vực liên quan
Chiến dịch đã được phát hiện nhiều lần trong một phạm vi hẹp, với các trang thay đổi tên miền và đồ họa để tránh bị chặn. Không phải tất cả các biến thể đều không có tệp: một số cung cấp tải xuống tệp thực thi được ngụy trang dưới dạng “trình xác minh.” Trong bối cảnh này, trong số các tên miền được quan sát trong các chiến dịch tương tự có human-verify-7u.pages.dev và recaptcha-manual.shop.
Tại sao việc phục hồi crypto lại khó khăn như vậy
Tốc độ là vũ khí chính của cuộc tấn công. Một khi bị đánh cắp, các khoản tiền sẽ được chuyển đến DEX và các công cụ tự động hóa phân mảnh các giao dịch. Vì lý do này, các nhóm phân tích on-chain báo cáo rằng việc rửa tiền có thể xảy ra trong vài phút, khiến việc phục hồi trở nên cực kỳ phức tạp.
Chỉ báo kỹ thuật ( cho SOC/IT)
Các miền/URL được quan sát: human-verify-7u.pages.dev, recaptcha-manual.shop, các biến thể trên các tiểu miền “human-verify” và “recaptcha-manual”.
Chiến thuật, Kỹ thuật, Quy trình (TTP): kỹ thuật xã hội qua overlay; thực thi PowerShell với việc vô hiệu hóa AMSI; tải DLL vào bộ nhớ (fileless); thu thập thông tin xác thực từ trình duyệt và ví.
Tín hiệu bất thường của điểm cuối: quy trình powershell.exe được khởi chạy bởi explorer.exe/win+r; hoạt động mạng ngay lập tức sau khi thực thi; truy cập vào các thư mục hồ sơ trình duyệt.
Mẫu trang: lỗi DNS giả + yêu cầu “xác minh thủ công” với tổ hợp Windows+R và “sao chép/dán”.
Thông báo pháp lý: chia sẻ IOC một cách có trách nhiệm; tránh phát tán các lệnh thực thi hoặc tải trọng.
Hướng Dẫn Nhanh: Phòng Thủ Ngay Lập Tức
Không dán các lệnh được gợi ý bởi các trang web hoặc cửa sổ bật lên.
Thiết lập các khối DNS và lọc nội dung cho các miền đáng ngờ và các danh mục malvertising.
Giới hạn việc thực thi các kịch bản PowerShell cho người dùng không phải quản trị viên; bật Chế độ Ngôn ngữ Bị Hạn chế nếu có thể.
Kích hoạt và theo dõi các giải pháp AMSI và EDR với các quy tắc trên các tiến trình trong bộ nhớ.
Tách việc sử dụng ví ra khỏi trình duyệt chính; ưu tiên ví phần cứng.
Vô hiệu hóa lưu mật khẩu trong trình duyệt; sử dụng trình quản lý mật khẩu có MFA.
Huấn luyện người dùng bằng những ví dụ thực tế về lừa đảo và CAPTCHA giả trên các trang nhạy cảm.
Biện pháp đối phó cho các công ty
Phân đoạn mạng và các khối tại cấp proxy/DNS cho các tên miền mới đăng ký và các mẫu "xác minh con người/recaptcha-thủ công".
Chính sách clipboard trên các thiết bị được quản lý; cảnh báo khi một trang web kích thích sao chép/dán các lệnh.
Săn lùng mối đe dọa trên các chuỗi tiêm quy trình và trên các thực thi bất thường của powershell.exe.
Sổ tay leo thang ngay lập tức: cách ly máy chủ, thu hồi phiên, xoay vòng thông tin xác thực, vô hiệu hóa mã thông báo và cookie.
Giới hạn thiệt hại sau vụ trộm
Ngay lập tức cách ly thiết bị và thu hồi các phiên hoạt động trên các dịch vụ quan trọng.
Tạo lại cụm từ hạt giống và chuyển tiền vào ví an toàn, không bị xâm phạm.
Bật MFA trên các ứng dụng độc lập với trình duyệt; tránh các cơ chế liên kết với cookie hoặc phiên đồng bộ.
Câu hỏi thường gặp
Làm thế nào để nhận biết một CAPTCHA giả?
Hãy cẩn thận với các trang yêu cầu Windows+R, sao chép/dán các lệnh, hoặc tải xuống "verifiers". Trong trường hợp nghi ngờ, hãy kiểm tra URL và đóng trang.
Có phải luôn là một cuộc tấn công không có tệp không?
Không. Một số biến thể tải xuống một tệp thực thi truyền thống; những biến thể khác hoạt động hoàn toàn trong bộ nhớ để giảm dấu vết trên đĩa.
Họ đang nhắm vào dữ liệu nào để đánh cắp?
Thông tin đăng nhập của trình duyệt, cookie, 2FA, dữ liệu và khóa của ví tiền điện tử.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
CAPTCHA giả, crypto biến mất trong 3 phút: chiêu trò PowerShell của Lumma Stealer lừa đảo 1 ...
Một làn sóng CAPTCHA giả đang dẫn dắt người dùng thực thi PowerShell trên Windows, kích hoạt kẻ trộm tiền điện tử Lumma Stealer. Theo phân tích của DNSFilter, 23 tương tác trong 72 giờ đã được ghi nhận, với 17% khách truy cập theo dõi các hướng dẫn hiển thị trên màn hình (DNSFilter). Kết quả ngay lập tức: ví tiền điện tử bị rút sạch và tiền được rửa trong chưa đầy 3 phút.
Theo dữ liệu thu thập được bởi các nhóm phản ứng sự cố đã phân tích các trang bị chặn từ ngày 14 đến 17 tháng 8 năm 2025, khoảng thời gian hoạt động để ngăn chặn chuyển khoản tiền đầu tiên thường ít hơn 180 giây. Các nhà phân tích trong ngành cũng lưu ý rằng các chiến dịch với lớp phủ thuyết phục ghi nhận tỷ lệ chuyển đổi từ 12% đến 20%, nhất quán với 17% được phát hiện bởi DNSFilter.
Dữ liệu chính: 17% của "chuyển đổi" khi thực hiện lệnh.
Chiến thuật: lớp xác minh mô phỏng một kiểm tra chống bot và hướng dẫn việc thực hiện PowerShell.
Tác động: đánh cắp thông tin đăng nhập, cookie, 2FA và tiền điện tử ví với việc thanh toán gần như ngay lập tức.
Một ví dụ về CAPTCHA giả mà yêu cầu xác minh “thủ công”: một biển cảnh báo không nên bị bỏ qua.
Cách mà sự lừa đảo hoạt động: từ cái giả mạo “Tôi không phải là robot” đến phần mềm độc hại trong bộ nhớ
Các CAPTCHAs giả mạo mô phỏng lại câu hỏi cổ điển "Tôi không phải là robot", nhưng thay vì xác thực quyền truy cập, chúng yêu cầu người dùng nhấn Windows+R và dán một lệnh. Điều này khởi động một quá trình thực thi PowerShell tải xuống và nạp vào bộ nhớ một DLL liên kết với Lumma Stealer, thường sử dụng kỹ thuật không file để né tránh phần mềm diệt virus truyền thống.
Malware có thể vô hiệu hóa hoặc bỏ qua các điều khiển thời gian chạy như AMSI (Giao diện quét phần mềm độc hại) để ẩn các payload được tải trong bộ nhớ. Một khía cạnh thú vị là tốc độ thu thập: khi đã hoạt động, malware sẽ trích xuất mật khẩu đã lưu, cookie, mã phiên, mã 2FA và dữ liệu ví tiền điện tử.
Trường hợp được quan sát bởi DNSFilter: lớp phủ trên các trang hợp pháp
Cảnh báo đã được kích hoạt khi một nhà cung cấp quản lý phát hiện một lớp xác minh trên một trang ngân hàng châu Âu: nó hiển thị một lỗi DNS giả và yêu cầu một "xác minh thủ công." Người dùng sau đó được hướng dẫn thực hiện PowerShell, khởi động việc tải xuống và thực thi payload Lumma. Trong ba ngày, 23 trang tương tự đã bị chặn; cần lưu ý rằng gần 1 trong 6 người dùng đã theo dõi các bước được đề xuất.
Thời gian của một vụ trộm trong 3 phút
Nhập: người dùng truy cập vào một trang web hợp pháp hoặc một trang bị sao chép; một CAPTCHA giả với lỗi DNS xuất hiện.
Kỹ thuật xã hội: trang web mời gọi "xác thực" quyền truy cập với Windows+R và một lệnh đã biên dịch sẵn.
Thực thi: PowerShell vô hiệu hóa các điều khiển như AMSI, tải một DLL Lumma Stealer và vẫn giữ trong bộ nhớ (fileless).
Exfiltration: phần mềm độc hại thu thập thông tin đăng nhập trình duyệt, cookie, 2FA, seed và dữ liệu ví từ tiền điện tử.
Monetization: các khóa được sử dụng để chuyển tiền trên DEX và mixers; việc rửa tiền xảy ra trong vài phút.
Phổ biến, các biến thể, và các lĩnh vực liên quan
Chiến dịch đã được phát hiện nhiều lần trong một phạm vi hẹp, với các trang thay đổi tên miền và đồ họa để tránh bị chặn. Không phải tất cả các biến thể đều không có tệp: một số cung cấp tải xuống tệp thực thi được ngụy trang dưới dạng “trình xác minh.” Trong bối cảnh này, trong số các tên miền được quan sát trong các chiến dịch tương tự có human-verify-7u.pages.dev và recaptcha-manual.shop.
Tại sao việc phục hồi crypto lại khó khăn như vậy
Tốc độ là vũ khí chính của cuộc tấn công. Một khi bị đánh cắp, các khoản tiền sẽ được chuyển đến DEX và các công cụ tự động hóa phân mảnh các giao dịch. Vì lý do này, các nhóm phân tích on-chain báo cáo rằng việc rửa tiền có thể xảy ra trong vài phút, khiến việc phục hồi trở nên cực kỳ phức tạp.
Chỉ báo kỹ thuật ( cho SOC/IT)
Các miền/URL được quan sát: human-verify-7u.pages.dev, recaptcha-manual.shop, các biến thể trên các tiểu miền “human-verify” và “recaptcha-manual”.
Chiến thuật, Kỹ thuật, Quy trình (TTP): kỹ thuật xã hội qua overlay; thực thi PowerShell với việc vô hiệu hóa AMSI; tải DLL vào bộ nhớ (fileless); thu thập thông tin xác thực từ trình duyệt và ví.
Tín hiệu bất thường của điểm cuối: quy trình powershell.exe được khởi chạy bởi explorer.exe/win+r; hoạt động mạng ngay lập tức sau khi thực thi; truy cập vào các thư mục hồ sơ trình duyệt.
Mẫu trang: lỗi DNS giả + yêu cầu “xác minh thủ công” với tổ hợp Windows+R và “sao chép/dán”.
Thông báo pháp lý: chia sẻ IOC một cách có trách nhiệm; tránh phát tán các lệnh thực thi hoặc tải trọng.
Hướng Dẫn Nhanh: Phòng Thủ Ngay Lập Tức
Không dán các lệnh được gợi ý bởi các trang web hoặc cửa sổ bật lên.
Thiết lập các khối DNS và lọc nội dung cho các miền đáng ngờ và các danh mục malvertising.
Giới hạn việc thực thi các kịch bản PowerShell cho người dùng không phải quản trị viên; bật Chế độ Ngôn ngữ Bị Hạn chế nếu có thể.
Kích hoạt và theo dõi các giải pháp AMSI và EDR với các quy tắc trên các tiến trình trong bộ nhớ.
Tách việc sử dụng ví ra khỏi trình duyệt chính; ưu tiên ví phần cứng.
Vô hiệu hóa lưu mật khẩu trong trình duyệt; sử dụng trình quản lý mật khẩu có MFA.
Huấn luyện người dùng bằng những ví dụ thực tế về lừa đảo và CAPTCHA giả trên các trang nhạy cảm.
Biện pháp đối phó cho các công ty
Phân đoạn mạng và các khối tại cấp proxy/DNS cho các tên miền mới đăng ký và các mẫu "xác minh con người/recaptcha-thủ công".
Chính sách clipboard trên các thiết bị được quản lý; cảnh báo khi một trang web kích thích sao chép/dán các lệnh.
Săn lùng mối đe dọa trên các chuỗi tiêm quy trình và trên các thực thi bất thường của powershell.exe.
Sổ tay leo thang ngay lập tức: cách ly máy chủ, thu hồi phiên, xoay vòng thông tin xác thực, vô hiệu hóa mã thông báo và cookie.
Giới hạn thiệt hại sau vụ trộm
Ngay lập tức cách ly thiết bị và thu hồi các phiên hoạt động trên các dịch vụ quan trọng.
Tạo lại cụm từ hạt giống và chuyển tiền vào ví an toàn, không bị xâm phạm.
Bật MFA trên các ứng dụng độc lập với trình duyệt; tránh các cơ chế liên kết với cookie hoặc phiên đồng bộ.
Câu hỏi thường gặp
Làm thế nào để nhận biết một CAPTCHA giả?
Hãy cẩn thận với các trang yêu cầu Windows+R, sao chép/dán các lệnh, hoặc tải xuống "verifiers". Trong trường hợp nghi ngờ, hãy kiểm tra URL và đóng trang.
Có phải luôn là một cuộc tấn công không có tệp không?
Không. Một số biến thể tải xuống một tệp thực thi truyền thống; những biến thể khác hoạt động hoàn toàn trong bộ nhớ để giảm dấu vết trên đĩa.
Họ đang nhắm vào dữ liệu nào để đánh cắp?
Thông tin đăng nhập của trình duyệt, cookie, 2FA, dữ liệu và khóa của ví tiền điện tử.
Nguồn và thông tin