假CAPTCHA，3分钟内加密货币消失：Lumma Stealer的PowerShell技巧欺骗了1...

一波假验证码正在导致用户在Windows上执行PowerShell，触发了加密窃贼Lumma Stealer。根据DNSFilter的分析，在72小时内记录了23次交互，17%的访客关注了屏幕上显示的指示(DNSFilter)。立即结果：加密钱包被清空，资金在不到3分钟内被洗钱。

根据事件响应团队在2025年8月14日至17日分析被阻止页面所收集的数据，防止首次资金转移的操作窗口通常少于180秒。行业分析师还指出，具有说服性覆盖的活动的转化率在12%到20%之间，这与DNSFilter检测到的17%一致。

关键数据：执行命令时“转换”的17%。

战术：验证覆盖层，模拟反机器人检查并指导PowerShell的执行。

影响：凭证、Cookie、双因素认证和钱包加密货币被窃取，几乎可以立即变现。

一个虚假的验证码示例，提示进行“手动”验证：一个不容忽视的警告标志。

欺骗是如何工作的：从假冒的“我不是机器人”到内存恶意软件

虚假的验证码模仿经典的“我不是机器人”，但不是用于验证访问，而是提示用户按下Windows+R并粘贴一个命令。这将启动一个PowerShell执行，下载并加载一个与Lumma Stealer相关联的DLL，通常使用无文件技术来规避传统的杀毒软件。

恶意软件可以禁用或绕过运行时控制，如AMSI (反恶意软件扫描接口)，以隐藏加载在内存中的有效负载。一个有趣的方面是收集的速度：一旦激活，恶意软件提取保存的密码、cookies、会话令牌、双因素认证代码和加密货币钱包数据。

DNSFilter观察到的案例：在合法网站上的覆盖

当一个管理服务提供商在一个欧洲银行网站上检测到一个验证覆盖时，警报被触发：它显示了一个假DNS错误并要求进行“手动验证”。然后用户被引导执行PowerShell，启动Lumma有效载荷的下载和执行。在三天内，阻止了23个类似的页面；值得注意的是，几乎6个用户中就有1个关注了所提出的步骤。

3分钟内的盗窃时间线

入口：用户访问一个合法网站或一个克隆页面；出现带有DNS错误的虚假验证码。

社交工程：该页面邀请使用Windows+R和预编译命令来“验证”访问。

执行：PowerShell 禁用 AMSI 等控件，加载 Lumma Stealer DLL，并保留在内存中(fileless)。

数据泄露：恶意软件收集浏览器凭据、Cookies、双因素认证、种子和加密钱包数据。

货币化：密钥用于在去中心化交易所和混合器上转移资金；洗钱在几分钟内发生。

传播、变体和相关领域

该活动在狭窄范围内被反复检测到，网页更换域名和图形以规避封锁。并非所有变体都是无文件的：一些变体提供伪装成“验证器”的可执行下载。在这种情况下，在类似活动中观察到的一些域名包括 human-verify-7u.pages.dev 和 recaptcha-manual.shop。

为什么加密货币的复苏如此困难

速度是攻击的主要武器。一旦被盗，资金会被转移到去中心化交易所(DEX)和自动化工具，这些工具会将交易进行碎片化。因此，链上分析团队报告称，洗钱可能在几分钟内发生，使得恢复变得极为复杂。

技术指标 (针对 SOC/IT)

观察到的域/URL：human-verify-7u.pages.dev、recaptcha-manual.shop、“human-verify”和“recaptcha-manual”子域的变体。

战术、技术、程序 (TTP)：通过覆盖进行社会工程；执行PowerShell并禁用AMSI；内存中的DLL加载 (无文件)；从浏览器和钱包收集凭据。

端点异常信号：由explorer.exe/win+r启动的powershell.exe进程；执行后立即进行网络活动；访问浏览器配置文件目录。

页面模式：假 DNS 错误 + 使用 Windows+R 组合和“复制/粘贴”的“手动验证”请求。

法律声明：负责任地共享IOC；避免传播可执行命令或有效载荷。

快速指南：即时防御

请勿粘贴网页或弹出窗口建议的命令。

为可疑域名和恶意广告类别设置DNS阻止和内容过滤。

限制非管理员用户执行PowerShell脚本；在可能的情况下启用受限语言模式。

启用并监控AMSI和EDR解决方案，针对内存中的进程设置规则。

将钱包的使用与主浏览器分开；优先使用硬件钱包。

在浏览器中禁用密码保存；使用带有多因素身份验证(MFA)的密码管理器。

用真实的钓鱼和假验证码示例培训用户，尤其是在敏感网站上。

企业的对策

网络分段和代理/DNS层的区块，用于新注册域名和“人工验证/recaptcha-手动”模式。

在受管理设备上实施策略剪贴板；当网站诱导复制/粘贴命令时发出警报。

针对进程注入链和powershell.exe异常执行进行威胁狩猎。

立即升级应对方案：主机隔离、会话撤销、凭证轮换、令牌和 cookie 无效化。

限制盗窃后的损害

立即隔离设备，并撤销关键服务上的活动会话。

重新生成种子短语并将资金转移到安全且未被破坏的钱包中。

在应用程序中启用多因素身份验证，独立于浏览器；避免与 cookie 或同步会话相关的机制。

常见问题

如何识别假冒的验证码？

警惕那些要求使用Windows+R、复制/粘贴命令或下载“验证器”的页面。如有疑问，请检查URL并关闭该页面。

这总是无文件攻击吗？

不。有些变体下载传统的可执行文件；其他则完全在内存中运行，以减少磁盘上的痕迹。

他们想盗取哪些数据？

浏览器的凭证、 cookies、双因素认证(2FA)、数据和加密钱包的密钥。

来源和见解